Pakistan merkezli olduğu düşünülen ve UTA0137 olarak takip edilen bir tehdit aktörü, Hindistan hükümet kurumlarını hedef alan bir siber casusluk kampanyasıyla ilişkilendirildi. Bu kampanya, Linux sistemlerini enfekte etmek için Golang ile yazılmış DISGOMOJI adlı bir zararlı yazılımın kullanımını içeriyor. DISGOMOJI, mesajlaşma hizmeti Discord'u komuta ve kontrol (C2) amaçlı kullanan, halka açık Discord-C2 projesinin değiştirilmiş bir versiyonu. Zararlı yazılım, C2 iletişimi için emojileri kullanarak güvenlik yazılımı tarafından tespit edilmesini zorlaştıran yenilikçi bir yöntem kullanıyor. Zararlı yazılım, ZIP arşiv dosyasındaki bir Golang ELF ikili dosyası içeren hedefli kimlik avı e-postaları yoluyla dağıtılıyor. Çalıştırıldığında, zararlı yazılım, sahte bir belgeyi indirip aynı anda uzaktaki bir sunucudan DISGOMOJI yükünü gizlice indiriyor. DISGOMOJI ardından her kurban için bir Discord sunucusunda özel bir kanal kuruyor ve saldırganların her kurbanla bireysel olarak etkileşime girmesine olanak tanıyor.

Bu zararlı yazılım, ana bilgisayar bilgilerini yakalayabilir, komutlar çalıştırabilir, ekran görüntüleri alabilir, dosya yükleyip indirebilir ve belirli uzantılara sahip dosyaları ele geçirebilir. Ayrıca, her açılışta zararlıyı çalıştırmak için @reboot cron komutunu kullanarak enfekte olan cihazda kalıcılık sağlar. Komuta ve kontrol için emojilerin kullanılması, DISGOMOJI'nin benzersiz bir özelliğidir. Zararlı yazılım, Discord sunucusundaki komut kanalındaki yeni mesajları dinler ve saldırganlar tarafından gönderilen emojilere tepki verir. Örneğin, 🏃♂️ emojisi kurbanın cihazında bir komutu çalıştırırken, 📸 emojisi bir ekran görüntüsü alır. Bu yaklaşım, genellikle metin tabanlı komutları arayan güvenlik yazılımlarını atlatmakta etkili olabilir. Kampanya, birkaç kurbanı enfekte etmede başarılı oldu ve saldırganlar zamanla zararlı yazılımı geliştirdiler.