تقوم الحملة على توزيع ملفات بلاحقة .SCR (شاشات توقف) متخفية في هيئة مستندات مالية يتم تمريرها عبر منصة Skype. وعند تشغيلها، تستغل تقنية Steganography لإخفاء شيفرة خبيثة داخل ملفات صور (JPG)، والتي تُستخدم لاحقا لتنزيل البرمجية من خادم القيادة والسيطرة (C2). ورُصدت أولى العينات منذ 9 سبتمبر 2024، بينما استمرت الهجمات حتى 12 أغسطس 2025، واستهدفت مواقع منها هونغ كونغ، الإمارات، لبنان، ماليزيا والأردن.
GodRAT يعتمد على قاعدة برمجية مشتقة من Gh0st RAT الذي تسرب كوده عام 2008 وتم اعتماده من قبل مجموعات قرصنة صينية. النسخة الجديدة تتبنى بنية قائمة على الإضافات (plugins) تسمح لها بجمع معلومات النظام، رصد برامج مكافحة الفيروسات المثبتة، وتنفيذ تعليمات خادم C2. ومن بين أوامرها: حقن مكتبات DLL في الذاكرة، إغلاق الاتصال وإنهاء العملية، تحميل ملفات وتشغيلها عبر API CreateProcessA، وفتح روابط عبر Internet Explorer.
أحد الإضافات الملحوظة هو FileManager DLL، الذي يمكن البرمجية من استعراض الملفات والمجلدات، البحث في النظام، وتنفيذ عمليات نسخ ونقل. كما يُستخدم لتوزيع حمولة إضافية مثل أدوات سرقة كلمات المرور من متصفحَي Google Chrome وMicrosoft Edge، بجانب نشر برمجية AsyncRAT.
التحليل الفني أشار إلى أن GodRAT يمثل امتدادا لبرمجية سابقة قائمة على Gh0st RAT تُعرف باسم AwesomePuppet التي ظهرت عام 2023، ويُعتقد أنها من تطوير مجموعة Winnti (APT41) الصينية. الملف التنفيذي النهائي يمكن توليده عبر أداة بناء (builder) تم العثور على كامل شيفرتها في VirusTotal أواخر يوليو 2024. الأداة تتيح للمهاجم اختيار حقن الكود الخبيث داخل عمليات نظام مشروعة مثل svchost.exe أو cmd.exe، مع حفظ الملف الضار بصيغ متنوعة تشمل .exe و.com و.bat و.scr و.pif.
تؤكد Kaspersky أن “الاعتماد المستمر على قواعد برمجية قديمة مثل Gh0st RAT يعكس قدرتها على البقاء طويلا في المشهد السيبراني، حيث يُعاد تطويرها وتخصيصها لتناسب أهداف ضحايا مختلفين”.
