Sosyal mühendislik yöntemleriyle kurbanlara Microsoft Teams üzerinden "IT departmanı çalışanı" gibi davranarak ulaşan grup, PowerShell komutlarıyla sahte MSC (Microsoft Console) dosyaları çalıştırıyor ve böylece zararlı dosyanın devreye girmesini sağlıyor The Hacker Newstrustwave.com Security Affairs.
Kampanyada, çift MSC dosyası kullanılıyor: biri görünürde zararsız, diğeri ise açığı tetikleyerek sisteme erişim sağlıyor. Bu dosya, dış bir sunucudan PowerShell script’i indirerek sistem bilgisini topluyor, kalıcılık oluşturuyor ve EncryptHub’un komuta‑kontrol (C2) sunucusundan AES ile şifrelenmiş komutlar alıp çalıştırıyor; sonuçta Fickle Stealer yüklüyor Security Affairs+5The Hacker News+5Medium+5.
Ayrıca, saldırganlar "SilentCrystal" adlı Go tabanlı loader’ı ve Brave Support platformunu da kullanarak (yeni kullanıcıların dosya yüklemesine normalde izin verilmezken) ZIP içinde MSC dosyaları barındıran malware’i yayıyor The Hacker News.