一个名为Worok的网络间谍组织被发现将恶意软件隐藏在看似无害的图像文件中，证实了攻击者感染链中的一个关键环节。捷克网络安全公司 Avast 表示，PNG 文件的目的是隐藏用于促进信息窃取的有效负载。攻击者使用 Dropbox 存储库从受害者机器收集数据，以及攻击者使用 Dropbox API 与最后阶段进行通信。Worok 与被追踪为TA428的攻击者有战术重叠。

这家斯洛伐克网络安全公司还记录了 Worok 的入侵时间线，利用名为CLRLoad的基于 C++ 的加载器为嵌入 PNG 图像中的未知 PowerShell 脚本铺平道路，这种技术被称为隐写术。尽管某些入侵需要使用 Microsoft Exchange Server 中的ProxyShell 漏洞来部署恶意软件，但最初的攻击媒介仍然未知。

Avast 的调查结果表明，攻击团伙在获得执行 CLRLoad 恶意软件的初始访问权限时使用DLL 侧面加载，但在跨受感染环境执行横向移动之前不会。PNGLoad 由 CLRLoad（或者另一个称为 PowHeartBeat 的第一阶段）启动，据说有两个变体，每个变体负责解码图像中的恶意代码以启动 PowerShell 脚本或基于 .NET C# 的有效负载。

PowerShell 脚本一直难以捉摸，尽管网络安全公司指出它能够标记一些属于第二类的 PNG 文件，这些文件分发了隐写式嵌入式 C# 恶意软件。这种代号为 DropboxControl 的新恶意软件是一种信息窃取植入程序，它使用 Dropbox 帐户进行命令和控制，使攻击者能够将文件上传和下载到特定文件夹，以及运行特定文件中的命令。

一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信和泄露系统元数据的能力。Avast 说，柬埔寨、越南和墨西哥的公司和政府机构是受 DropboxControl 影响的几个主要目标，并补充说恶意软件的作者可能与 CLRLoad 和 PNGLoad 背后的作者不同，这些有效负载的代码质量明显不同。

部署第三阶段植入物作为收集感兴趣文件的工具清楚地表明了 Worok 的情报收集目标，Worok 工具在野外的普及率很低，因此可以表明该工具集是一个 APT 项目，重点关注亚洲、非洲和北美私营和公共部门的知名实体。