Svmuu 보도에 따르면 Elastic Security Labs가 공개한 정보에 의하면, 위협 행위자들이 벤처 캐피털 회사를 사칭하여 LinkedIn과 Telegram을 통해 표적을 유인해 악성 코드가 포함된 Obsidian 노트 저장소를 열도록 유도했습니다. 이번 공격은 Obsidian의 Shell Commands 플러그인을 악용하여, 피해자가 노트 저장소를 열 때 취약점을 이용하지 않고도 악성 페이로드를 실행할 수 있게 했습니다.
공격에서 발견된 PHANTOMPULSE는 이전에 기록되지 않은 Windows 원격 접속 트로이 목마(RAT)로, 이더리움 거래 데이터를 통해 블록체인 C2 통신을 구현합니다. macOS 측 페이로드는 난독화된 AppleScript 드로퍼를 사용하며, Telegram 채널을 백업 C2로 활용합니다. Elastic Defend는 PHANTOMPULSE가 실행되기 전에 공격을 적시에 탐지하고 차단했습니다.