Teknik serupa sebelumnya dilaporkan oleh kelompok NCC.

Pada bulan November 2022, LAC melaporkan varian Claimloader kemungkinan menargetkan organisasi pemerintah di Filipina dalam rantai infeksi yang hampir persis sama dengan aktivitas pada tahun 2023-2024 yang dirinci di bagian sebelumnya. Varian menyimpan payloadnya sebagai blok 32-byte dari string tumpukan terenkripsi, sebelum mendekripsi masing-masing. Ini juga menyalin eksekusi yang sah dan DLL Claimloader ke direktori baru sebelum mencoba membangun persistensi melalui registri atau tugas terjadwal, secara efektif menjadikannya penginstal selain loader.

Setelah eksekusi, malware dimulai dengan membuat mutex hardcode untuk memastikan hanya satu instance Claimloader yang berjalan. Selanjutnya, ia memeriksa argumen baris perintah tertentu, yang tidak ada pada proses pertama. Jika itu masalahnya, Claimloader akan menyalin EXE dan DLL ke direktori baru yang tidak mencolok, seringkali di bawah “C:\ProgramData\”, meniru direktori perangkat lunak seperti:

C:\ProgramData\NVIDIACorporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\JxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

Perilaku ini digunakan oleh sebagian besar sampel Claimloader yang lebih baru dan juga dapat menyebabkan eksekusi sandbox yang tidak berhasil.

Selanjutnya, malware menetapkan persistensi pada login dengan menyimpan jalur EXE dengan argumen baris perintah yang benar di kunci registri baru lagi dengan nama perangkat lunak yang tidak mencolok di bawah:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run