Nach Angaben von Proofpoint wurde die Domain "trustconnectsoftware.com" im Januar 2026 registriert und präsentierte sich als seriöser Anbieter einer Fernwartungssoftware. Die professionell gestaltete Website mit Produktdokumentation und vermeintlichen Kundenstatistiken sollte den Eindruck legitimer Geschäftstätigkeit erwecken. Interessenten konnten sich dort für den Dienst registrieren – allerdings nicht als Administratoren, sondern als Kriminelle: Für 300 US-Dollar pro Monat, zahlbar in Kryptowährungen, erhielten sie Zugriff auf ein webbasiertes Command-and-Control-Dashboard zur Steuerung ihrer Kampagnen.

Besonders perfide: Die Betreiber ließen ein Extended-Validation-Zertifikat auf den Namen "TrustConnect Software PTY LTD" ausstellen und signierten damit ihre Malware. So sollten Sicherheitsmechanismen und Browserwarnungen umgangen werden. Laut Proofpoint verbreiten verschiedene Bedrohungsakteure die Schadsoftware über täuschend echt benannte Dateien wie "MsTeams.exe" oder "AdobeReader.exe". In Kampagnen dienen unter anderem Einladungen zu Meetings oder steuerliche Themen als Köder. Zudem werde TrustConnect häufig gemeinsam mit legitimen, aber missbrauchten RMM-Tools wie ScreenConnect oder LogMeIn eingesetzt – ein Hinweis auf die Einbettung in bestehende Cybercrime-Strukturen.

Technisch bietet das System umfangreiche Funktionen: Angreifer können Dateien übertragen, Systeminformationen auslesen, Befehle ausführen oder per Remote-Desktop vollständige Kontrolle über Maus und Tastatur übernehmen. Das Dashboard erlaubt Gruppenverwaltung infizierter Geräte sowie eine zeitgestempelte Protokollierung aller Aktionen – eine Löschfunktion für diese Logs fehle allerdings. Nach einer koordinierten Abschaltung der Infrastruktur im Februar 2026 sei die Gruppe laut Proofpoint rasch auf neue Server umgezogen und habe mit "DocConnect" eine weiterentwickelte Variante auf Basis einer React-Single-Page-Anwendung vorgestellt. Die Analyse mit technischen Details und Screenshots veröffentlichte Proofpoint in seinem Threat-Blog.