木馬程式STX RAT同時具備竊資軟體的功能

資安公司eSentire指出，他們在2月底看到該惡意程式的活動，駭客鎖定金融產業發動攻擊，藉由用戶的瀏覽器下載VBS指令碼檔案，於受害電腦部署此惡意程式。他們提到，資安公司Malwarebytes於3月初揭露有人散布惡意版本FTP應用程式FileZilla，是其中一種散布STX RAT的管道。

STX RAT的本質是遠端存取木馬，其中整合了HVNC與隱匿的遠端桌面連線功能，使得攻擊者能遠端控制受害電腦，不過除此之外，該惡意程式還納入竊資軟體的功能，鎖定瀏覽器存放的憑證與Cookie、加密貨幣錢包，以及FTP用戶端程式的憑證。eSentire指出，駭客似乎還打算破解應用程式綁定加密（Application-Bound Encryption，ABE）機制——此為Chrome 127版導入的對抗竊資軟體功能，不過，研究人員並未看到駭客成功擷取ABE金鑰，推測相關功能尚未正式啟用。

駭客使用多階段的解密與解壓縮機制，藉由XXTEA與Zlib來解開嵌入的有效酬載。此惡意軟體只有在收到C2伺服器的明確命令後，才會執行竊取資料的工作，目的是避免在沙箱環境或是資安人員的測試環境留下證據。

值得一提的是，C2通訊雖然以常見的TCP連線進行，但攻擊者採用專屬且具有特定前綴的通訊協定，並透過精心設計的加密C2通道，避免資安系統與研究人員察覺異狀。再者，駭客也透過Clearweb與Tor網路連線，作為備援的C2通訊機制。

為了避免研究人員逆向工程，STX RAT經過多層字串混淆處理，再者，駭客也透過加鹽處理的SHA-1雜湊值，解析Windows的API與功能模組的相依性，這麼做也使得研究人員分析變得更加困難。