Dalam insiden ini, file yang terlihat seperti dokumen interview sebenarnya adalah Windows Shortcut / LNK yang berisi command tersembunyi. Ketika korban membuka file tersebut, sistem tidak langsung membuka dokumen biasa, tetapi menjalankan PowerShell hidden untuk mengeksekusi payload berikutnya.
Payload utama disembunyikan dalam bentuk Base64 encoded script. Setelah dijalankan, script tersebut membuat file VBS sementara di folder user, lalu mengeksekusinya menggunakan wscript. Teknik ini umum dipakai untuk menyembunyikan aktivitas awal malware karena korban biasanya hanya melihat file dokumen, bukan proses PowerShell atau VBS yang berjalan di background.
Yang menarik, script ini juga mengunduh file PDF bernama Questionnaire.pdf dari Dropbox dan membukanya sebagai form interview. Ini adalah teknik decoy document. Tujuannya agar korban percaya bahwa file yang dibuka memang benar-benar dokumen interview. Sementara korban membaca form tersebut, proses lain berjalan diam-diam di background.
Payload sebenarnya adalah download dan instalasi ScreenConnect.ClientSetup.msi dari server eksternal. ScreenConnect adalah remote access / remote support tool yang secara legal bisa dipakai untuk administrasi IT. Namun dalam konteks ini, tool tersebut dipasang melalui LNK tersembunyi, PowerShell hidden, dan silent install. Karena itu, kasus ini masuk kategori RMM abuse atau RAT-style access, di mana attacker berusaha mendapatkan akses remote ke komputer korban.
Script juga mencoba melakukan defense evasion dengan mengubah registry Windows untuk menonaktifkan SmartScreen. Beberapa registry yang ditargetkan berkaitan dengan SmartScreenEnabled, EnableWebContentEvaluation, dan policy EnableSmartScreen. Ini menunjukkan niat untuk melemahkan proteksi bawaan Windows sebelum proses instalasi berjalan.
