Splunk威胁研究团队（STRT）分析发现一场新的恶意软件活动，其通过混淆的加载器同时投递Gh0st RAT远程访问木马和CloverPlus广告软件，兼具持久控制与流量变现能力。加载器将两个加密载荷隐藏在资源区，首先执行AdWare.Win32.CloverPlus广告软件以安装广告组件、篡改浏览器并触发弹窗。同时，加载器解密第二个载荷——Gh0st RAT客户端DLL。为规避检测，加载器会检查自身是否从%temp%目录运行，否则先自我复制。解密后的DLL被写入C盘根目录的随机文件夹，并通过rundll32.exe执行。 该Gh0st RAT变种具备多种规避与持久化技术。它通过访问令牌操纵启用SeDebugPrivilege以读取其他进程内存，执行用户和网络发现，并尝试识别并替换端口53的DNS进程以劫持流量。为检测虚拟机，它查询VMware相关注册表键，若发现则通过访问新浪博客页面解析HTML标题来解码C2地址。它还使用基于ping的休眠技术，并滥用应用层DNS通信来拦截包含“Alyac”、“Ahnlab”等安全厂商子串的域名访问，随后刷新DNS缓存。 此外，该RAT通过Netbios调用和IOCTL请求收集MAC地址和磁盘序列号等硬件标识。持久化通过写入Windows自启动注册表键、滥用Windows远程访问服务配置以及注册恶意Windows服务实现。它还通过监控mstsc.exe并调用GetKeyState()等函数捕获击键，专门窃取RDP会话中的高价值凭证。STRT已将相关行为映射至MITRE ATT&CK框架，并发布检测规则，包括监控非常规扩展名的rundll32.exe执行、基于ping的休眠命令、持久化注册表键、从%temp%执行进程以及对RemoteAccess RouterManagers\Ip注册表项的修改，以帮助防御者进行主动威胁狩猎。