DslogdRAT的运作设计具隐匿性,木马启动后会先建立一个子程序并终止自身主程序,以减少在系统行程中留下明显的活动痕迹。该子程序负责解码内嵌的设定资料,并进一步启动第二个子程序执行核心功能。第一个子程序持续存活并进行轮询(Polling),以维持表面活动,掩护后续的恶意行为,第二个子程序则执行DslogdRAT核心功能,以pthread函式库建立工作执行绪,与C2伺服器交换资料并执行各项指令。
在与C2伺服器通讯的过程,DslogdRAT会对资料进行简单编码处理,以增加传输内容的混淆程度,降低被拦截分析的风险。木马本身也将设定资料进行编码保护,并限制其活动时间,仅于每天上午8点至晚上8点间进行通讯,借此伪装成一般业务流量,避免在非上班时段引起注意。DslogdRAT支援多种操作,包括档案传输、远端指令执行与流量代理功能,使攻击者能够持续控制受害系统,并展开横向移动或隐匿行动。
此外,研究人员也指出,在同一受害系统上发现了另一款名为SPAWNSNARE的恶意程式。SPAWNSNARE曾在2025年4月被CISA与Google揭露,不过,目前尚无法确认此次DslogdRAT攻击行动,是否与先前操控SPAWN系列恶意程式的攻击组织UNC5221直接相关。
研究人员呼吁企业留意官方漏洞修补公告,并强化侦测与分析异常行为,尤其是针对伺服器上异常出现的CGI脚本、非预期的网路连线行为,以及应用程式执行绪异常等情况。