นักวิจัยของ SentinelOne บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยเทคนิคการหลบหลีกการตรวจับจากอุปกรณ์ป้องกันด้านความปลอดภัย และสามารถเรียกใช้งานเพย์โหลดที่เป็นอันตรายของกลุ่ม CatB Ransomware โดยใช้เทคนิคที่มีชื่อว่า DLL search order hijacking
CatB Ransomware หรือ CatB99 และ Baxtoy ถูกพบครั้งแรกเมื่อปลายปี 2022 ซึ่งคาดว่าเป็นการพัฒนาต่อยอดมาจากกลุ่ม Pandora Ransomware โดยจากการวิเคราะห์ code-level พบว่ามีความคล้ายกัน ซึ่งพบว่า Pandora นั้นมีที่มาจาก ronze Starlight (หรือ DEV-0401 หรือ Emperor Dragonfly) โดยเป็นกลุ่ม Hacker ชาวจีนที่ใช้ Ransomware สายพันธุ์ที่มีช่วงเวลาที่ถูกใช้ในการโจมตีต่ำ เพื่ออำพรางเป้าหมายที่แท้จริงของการโจมตี
การโจมตีของ CatB Ransomware
CatB Ransomware จะโจมตีด้วยวิธีการ DLL hijacking ผ่าน Microsoft Distributed Transaction Coordinator (MSDTC) ที่เป็น service จริง ๆ ของ Microsoft เพื่อติดตั้ง และเรียกใช้งานเพย์โหลดของแรนซัมแวร์ เช่น versions.