CherryLoader
Az Arctic Wolf Labs az általuk vizsgált támadások során egy új Go alapú rosszindulatú kártevő letöltő programot azonosított, amely lehetővé tette a támadók számára, hogy kód újrafordítása nélkül cseréljenek kihasználásokat. A loader ikonja és neve a valós CherryTree jegyzetelő alkalmazásnak álcázta magát, hogy becsapja az áldozatokat. Az Arctic Wolf Labs által vizsgált behatolások során a CherryLoader-t két jogosultságnövelő eszköz, a PrintSpoofer vagy a JuicyPotatoNG egyikét használták. A CherryLoader moduláris funkciókat tartalmaz, amelyek lehetővé teszik a fenyegető szereplő számára, hogy a kód újbóli összeállítása nélkül cserélje ki az exploitokat. A CherryLoader támadási lánca kihasználja a process ghostingot, és lehetővé teszi a fenyegető szereplők számára a jogosultságok megemelését és a perzisztencia létrehozását az áldozati gépeken.
Az Arctic Wolf Labs megosztotta az azonosításhoz szükséges mutatókat (IoC).