Повідомлення Gate News, 15 квітня — Elastic Security Labs повідомили, що зловмисники видавали себе за венчурні інвестфірми, щоб заманити цілі через LinkedIn і Telegram до відкривання шкідливих сховищ нотаток Obsidian. Атака використовувала плагін Obsidian Shell Commands для виконання шкідливих корисних навантажень, коли жертви відкривали сховище, не вимагаючи експлуатації вразливостей.
PHANTOMPULSE, раніше не задокументований троян для віддаленого доступу до Windows (RAT), було виявлено під час атаки. Він використовує зв’язок C2 через дані транзакцій у блокчейні Ethereum. У корисному навантаженні для macOS застосовувався обфускований dropper AppleScript із телеграм-каналом як резервним C2.
Elastic Defend виявив і заблокував атаку до виконання PHANTOMPULSE.