مهاجمان سایبری حداقل طی هشت ماه گذشته نسخه‌های آلوده شده مدیر رمزعبور KeePass را توزیع کرده‌اند تا بیکن‌های Cobalt Strike نصب کنند، اعتبارنامه‌ها را سرقت کنند و در نهایت باج‌افزار را در شبکه‌های هدف مستقر کنند. تیم تحقیقاتی WithSecure این کمپین را پس از بررسی یک حمله باج‌افزاری کشف کرد. محققان دریافتند که حمله با نصب‌کننده مخرب KeePass آغاز شد که از طریق تبلیغات Bing و سایت‌های جعلی نرم‌افزار ترویج می‌شد. مهاجمان کد منبع KeePass را تغییر داده و نسخه آلوده‌ای به نام KeeLoader ساختند که علاوه بر عملکرد عادی مدیریت رمزعبور، بیکن Cobalt Strike نصب می‌کند و پایگاه داده رمزعبورهای KeePass را به صورت متن ساده صادر و سرقت می‌کند.

تحقیقات نشان داد که واترمارک‌های Cobalt Strike استفاده شده در این کمپین به یک کارگزار دسترسی اولیه مرتبط با باج‌افزار Black Basta وصل است. محققان چندین نسخه از KeeLoader را کشف کردند که با گواهی‌های معتبر امضا شده و از طریق دامنه‌های جعلی مانند keeppaswrd[.]com، keegass[.]com و KeePass[.]me توزیع می‌شوند. این حمله در نهایت منجر به رمزگذاری سرورهای VMware ESXi قربانی با باج‌افزار شد. WithSecure این فعالیت را با اطمینان متوسط به گروه UNC4696 نسبت می‌دهد که قبلاً با کمپین‌های Nitrogen Loader و باج‌افزار BlackCat/ALPHV مرتبط بوده است.