Эксперты компании Sophos провели мониторинг разных хакерских форумов, в ходе которого ими был замечен пользователь Pahan (также известен как Pahan12, Pahan123 и Pahann), занимавшийся распространением различных вредоносных программ. Выяснилось, что Pahan размещал разнообразные утилиты в открытом доступе, умышленно заражая инструменты других хакеров кейлоггерами и троянскими программами.
Впервые пользователь Pahan12 замечен специалистами Sophos на сайте LeakForums, где он продавал троянскую программу удаленного доступа SLICK RAT. В ходе последующего анализа выяснилось, что те, кто хотел заполучить данную утилиту, в результате сами оказывались жертвами вредоносной программы KeyBase, которая была помещена в код SLICK RAT. KeyBase занималась кражей паролей хакеров, которые затем передавались на сайт Pahan12. Исследователи уверены в том, что здесь нет никакого совпадения, поскольку в ссылке содержался текст pahan123. Эксперты считают, что затем Pahan пользовался похищенной учетной информацией для входа в аккаунты на разных хакерских сайтах, чтобы повышать собственную репутацию.
Данный случай вызвал интерес у специалистов, которые решили продолжить свое расследование. Вскоре они выяснили, что Pahan действует не только на LeakForums.
По словам исследователей, в ноябре прошлого года Pahan занимался распространением инструмента Aegis Crypter, предназначенного для обфускации кода и маскировки вредоносного программного обеспечения во избежание обнаружения антивирусами. Однако данная версия Aegis Crypter была инфицирована троянской программой RxBot. В марте этого года, злоумышленник под псевдонимом Pahann продавал вариант кейлоггера KeyBase, заражавший покупателей вредоносными программами COM Surrogate, Cyborg и RxBot.