A análise de um dos documentos do agente da ameaça descobriu que, se a macro for executada, ela iniciará dois scripts separados do PowerShell. O primeiro executa um script do PowerShell fornecido por hxxp://139.59.46.154:3485/eiloShaegae1. O host possivelmente está relacionado a ataques que usaram o Pupy RAT, uma ferramenta de acesso remoto entre plataformas disponível ao público.

O segundo script chama VirtualAlloc para criar um buffer, usa memset para carregar o shellcode relacionado ao Metasploit nesse buffer e o executa através de CreateThread. Metasploit é um framework de código aberto popular como uma ferramenta para desenvolver e executar exploração em uma máquina alvo remota. O shellcode executa um DWORD XOR de 4 bytes em um deslocamento desde o início do shellcode que altera o código para criar um loop para que o XOR continue 0x57 vezes.

Se esta execução for bem-sucedida, é criado um buffer usando VirtualAlloc e é chamada a função InternetReadFile num ciclo até que todo o conteúdo do ficheiro seja obtido a partir de hxxp://45.76.128.165:4443/0w0O6. Em seguida, isso é devolvido como uma string ao PowerShell, que chama invoke-expression (iex) sobre ela, indicando que a carga útil esperada é PowerShell.

Vale salientar que a macro continha uma função DownloadFile() que usaria URLDownloadToFileA, mas que nunca chegou a ser efetivamente usada.

Com base em observações associadas ao documento malicioso, observamos sessões de shell subsequentes provavelmente associadas ao Meterpreter da Metasploit que permitiram a implementação de ferramentas e malware adicionais antes da implementação de três arquivos relacionados ao Shamoon: ntertmgr32.exe, ntertmgr64.exe and vdsk911.sys.