In februari 2026 werd een reeks kwaadaardige activiteiten ontdekt die sinds eind 2025 gaande waren. Centraal in deze aanvallen stond een remote access Trojan (RAT) geschreven in Go, met proxyfunctionaliteiten, genaamd GoSerpent. Deze malware richtte zich op overheids- en diplomatieke organisaties in Zuidoost-Azië en vertoonde een hoog niveau van technische verfijning. GoSerpent ontving tijdens de aanval een versleuteld argument en startte communicatie met een externe command-and-control (C2) server. Daarnaast werd de backdoor gebruikt om aanvullende kwaadaardige tools te installeren voor het verzamelen van gevoelige data en het dumpen van inloggegevens.

De aanvallers introduceerden in mei 2026 een geavanceerdere toolset, waaronder een nieuwe Stowaway RAT en een proxytool die leek op de oorspronkelijke malware, plus een extra stealthy tool voor het exfiltreren van eerder verzamelde gevoelige data via netwerkshares. Eerdere versies van GoSerpent, actief sinds 2021, waren eenvoudiger en ontvingen commando's in platte tekst. Ondanks de verbeteringen bleven de aanvallers ook de oudere variant inzetten.

De aanvallen begonnen met het plaatsen van de GoSerpent backdoor, gevolgd door het inzetten van aanvullende kwaadaardige tools. Het primaire doel in deze fase was het verzamelen van gevoelige bestanden, die werden opgeslagen voor latere exfiltratie via een tool genaamd ThumbcacheService. Om toegang te krijgen tot de benodigde systeemcredentials voor het exfiltreren via gedeelde netwerkschijven, werden diverse credential dumping tools ingezet via de backdoor.

GoSerpent zelf is een geavanceerde backdoor, geschreven in Go, die sinds 2021 actief is en in 2026 een nieuwe variant kreeg. De malware ontvangt versleutelde en base64-gecodeerde commandoregelargumenten met daarin het adres van de C2-server en het communicatiewachtwoord. Deze worden ontsleuteld met AES-CBC en een vaste initialisatievector. Communicatie met de C2-servers verloopt via ChaCha20-encryptie, waarbij de SHA256-hash van het wachtwoord als sleutel dient. GoSerpent ondersteunt diverse commando's, waaronder het starten van een SOCKS5-proxy om netwerkverkeer via geïnfecteerde systemen te routeren, wat de aanvallers helpt hun identiteit te verbergen. Tevens kan de backdoor extra kwaadaardige tools uitrollen.