Decoy Dog malware
Az Infoblox kutatói 2023 áprilisának elején fedezték fel az eszközkészletet a napi több mint 70 milliárd DNS-rekord elemzésének részeként, hogy rendellenes vagy gyanús tevékenységre utaló jeleket keressenek. Az Infoblox jelentése szerint a Decoy Dog DNS-ujjlenyomata rendkívül ritka és egyedülálló az internet 370 millió aktív domainje között, így könnyebben azonosítható és nyomon követhető. Ezért a Decoy Dog infrastruktúrájának vizsgálata gyorsan több C2 tartomány felfedezéséhez vezetett, amelyek ugyanahhoz a művelethez kapcsolódnak, és a legtöbb kommunikáció ezekről a szerverekről az oroszországi gazdagépektől származik. A további vizsgálatok feltárták, hogy ezeken a tartományokon a DNS-tunelek olyan jellemzőkkel bírtak, amelyek a Pupy RAT-ra, a Decoy Dog eszközkészlet által telepített távoli hozzáférésű trójaira mutattak.
A Pupy RAT egy moduláris, nyílt forráskódú eszközkészlet, amely népszerű az állami támogatású szereplők körében, mivel lopakodó (fájl nélküli), támogatja a titkosított C2 kommunikációt, és segíti őket abban, hogy tevékenységeiket az eszköz más felhasználóival vegyítsék. A kevésbé képzett szereplők nem használják a Pupy RAT-ot, mivel az eszköz megfelelő DNS-kiszolgáló konfigurációval történő telepítése a C2 kommunikációhoz tudást és szakértelmet igényel.