Аналитики Silent Push зафиксировали, что операторы вредоносного ПО SocGholish применяют системы распределения трафика Parrot TDS и Keitaro TDS для фильтрации и перенаправления пользователей на ресурсы с вредоносным содержимым. Эти механизмы позволяют отбирать целевых посетителей по заданным критериям и направлять их на специально подготовленные страницы.
В отчёте Silent Push отмечается, что SocGholish стал частью модели «вредоносное ПО как услуга» (MaaS), при которой заражённые устройства продаются другим киберпреступным группировкам как точки первоначального доступа. Программа, также известная как FakeUpdates, представляет собой загрузчик на JavaScript, распространяемый через взломанные сайты. Злоумышленники маскируют его под обновления браузеров Google Chrome и Mozilla Firefox, а также приложений Adobe Flash Player или Microsoft Teams.
Авторство SocGholish связывают с группировкой TA569, известной под именами Gold Prelude, Mustard Tempest, Purple Vallhund и UNC1543. Через этот инструмент обеспечивается передача доступа к системам для организаций Evil Corp (DEV-0243), LockBit, Dridex и Raspberry Robin (Roshtyak). Отмечено, что в ряде кампаний Raspberry Robin использовался как канал для распространения самого SocGholish.
По данным Silent Push, заражение происходит через уже скомпрометированные сайты. Для внедрения вредоносного кода применяются прямые инъекции, когда загрузка JS-полезной нагрузки выполняется напрямую с заражённой страницы, либо модифицированные варианты инъекций с промежуточным JavaScript-файлом.
Помимо заражённых сайтов, значительная доля трафика к доменам SocGholish формируется через сторонние TDS-системы, такие как Parrot TDS и Keitaro TDS. Эти инструменты перенаправляют посетителей после проведения углублённой идентификации и оценки их потенциальной ценности для злоумышленников.