Урядова команда CERT-UA отримала від фахівців підрозділу кібербезпеки АТ "Укрзалізниця" інформацію щодо розсилання електронних листів з темою "Як розпізнати дрон-камікадзе." з адреси "morgunov.a@dsns.com[.]ua". Таким чином, листи розсилалися начебто від імені Державної служби України з надзвичайних ситуацій, для чого в листопаді було зареєстровано відповідне доменне імя.

Дослідження показало, що у вкладенні до листа знаходиться RAR-архів "shahed-136.rar", який містить PPSX-документ "shahed.ppsx". В свою чергу, цей документ містить VBScript-код, призначений для створення запланованого завдання, а також дешифрування, створення на ЕОМ та запуску PowerShell-скрипта. При цьому, криптографічне перетворення даних здійснюється за допомогою алгоритму RC4, а в якості ключа виступає рядок, що є результатом конкатенації значення властивості "Manager" та назви документу ("Трігубенко Сергій Георгійович|shahed.ppsx").

Згаданий PowerShell-скрипт за допомогою командлету BitsTransfer (Background Intelligent Transfer Management) далі здійснює завантаження виконуваних файлів "WibuCm32.dll", "CodeMeter.exe" (легітимна програма), а також створюють заплановане завдання для запуску останнього. 

Файл "WibuCm32.dll" класифіковано як шкідливу програму DolphinCape, що розроблена з використанням мови програмування Delphi та основним функціоналом якої є збір інформації про комп'ютерну систему (ім'я хоста, ім'я користувача, розрядність, версія ОС, значення змінних середовища), запуск EXE/DLL файлів, відображення списку файлів та їх вивантаження, а також створення та ексфільтрація знімків екрану.