攻击者利用合法工具传播AsyncRAT，采用无文件技术绕过传统检测。通过入侵ScreenConnect，使用PowerShell和VBScript加载恶意代码，保持内存清洁，难以被发现。同时，攻击者禁用防护机制，创建伪装任务以维持持久性。AsyncRAT具备强大功能，如键盘记录和凭据窃取。

研究人员发现了一种持续11个月的攻击行动，通过嵌入网络钓鱼页面的JavaScript脚本向受害者投递AsyncRAT木马。攻击者选择与美国关键基础设施相关的受害者。AsyncRAT是一种开源远控木马，具有按键记录和载荷投递等功能。攻击者使用混淆的代码和多个阶段的攻击链来逃避检测，并尝试为每个受害者生成全新的Loader。攻击基础设施具有共同特征，如域名结构和ASN。攻击者使用DGA算法生成新域名，并对样本进行混淆和修改。