与Gootkit恶意软件相关的威胁参与者对其工具集进行了“显著的更改”，为其感染链添加了新的组件和混淆。

谷歌旗下的Mandiant正在以名称UNC2565监控该活动集群，并指出该恶意软件的使用是“该集团独有的”

Gootkit，也称为Gootloader，通过一种被称为搜索引擎优化（SEO）中毒的技术，受害者在搜索协议和合同等与业务相关的文档时被诱骗访问的网站传播。

据称的文件采用ZIP档案的形式，其中包含java script恶意软件，一旦启动，将为Cobalt Strike Beacon、FONELAUNCH和SNOWCONE等其他有效载荷铺平道路。

FONELAUNCH是一个基于.NET的加载器，旨在将编码的有效载荷加载到内存中，SNOWCONE是一个下载器，负责通过HTTP检索下一阶段的有效载荷，通常是IcedID。

Gootkit恶意软件

虽然Gootkit的总体目标保持不变，但攻击序列本身已经得到了重大更新，其中ZIP存档中的java script文件被木马化，并包含另一个模糊的java script文件，从而继续执行恶意软件。

Gootkit恶意软件

威胁情报公司于2022年11月发现的新变种被追踪为GOOTLOADER.POWERSHELL。值得注意的是，Trend Micro本月早些时候也记录了经过改造的感染链，详细描述了针对澳大利亚医疗保健部门的Gootkit攻击。

此外，据说恶意软件作者采取了三种不同的方法来掩盖Gootkit，包括在jQuery、Chroma.js和Undercore.js等合法java script库的修改版本中隐藏代码，以逃避检测。

这不仅仅是Gootkit，因为自2021 5月起，UNC2565就开始使用FONELAUNCH的三种不同风格——FONELAUNCH.FAX、FONELAONCH.PHONE和FONELAENCH.DIALTONE来执行DLL、.NET二进制文件和PE文件，这表明恶意软件库正在不断维护和更新。

Mandiant研究人员Govand Sinjari和Andy Morales表示：“这些变化说明了UNC2565的积极发展和能力增长。”。