Según los expertos, en los nuevos ataques se utilizó una cadena de varios backdoors, en lugar de un solo backdoor, como en marzo de 2025. Se trata del malware PhantomRemote, PhantomCSLoader y PhantomSAgent. Además, en algunos casos, los atacantes también instalaron túneles SSH para el acceso remoto a la infraestructura comprometida.
Kaspersky señaló:
Es probable que los atacantes intentaran eludir las medidas de protección, esperando que, en caso de que se detectara un backdoor, los demás permanecieran en el sistema.
Los ataques siguen comenzando con el envío de correos electrónicos maliciosos. Esta vez, contenían un archivo adjunto con el backdoor PhantomRemote, que permite ejecutar comandos de forma remota en el dispositivo infectado.
Los atacantes prepararon de antemano un conjunto de componentes adicionales y utilizaron una cadena de backdoors — PhantomCSLoader y PhantomSAgent — para afianzarse en el sistema. Este malware está escrito en diferentes lenguajes de programación, utiliza un modelo de interacción similar con el servidor de comando y control, pero difieren en los mecanismos internos de funcionamiento.