Palo Alto Networks'ün Unit 42 araştırmacılarına göre, Gremlin stealer'ın yeni bir sürümü, basit bir kimlik bilgisi toplayıcıdan modüler bir tehdit aracına dönüştü. Nisan 2025'te ilk kez ortaya çıkan bu bilgi hırsızı, sadece 12 ay içinde yeni gizleme teknikleri ve anti-analiz önlemleriyle hızla evrildi. Gremlin, tehlikeye atılmış sistemlerden hassas bilgileri çalarak saldırganların kontrolündeki sunuculara gönderiyor ve bu veriler potansiyel olarak yayınlanabiliyor veya satılabiliyor.
Yeni varyant, özellikle statik analiz araçlarını atlatmak üzere tasarlanmış olup, gizliliğe daha fazla odaklanıyor. Araştırmacılar, kötü amaçlı yükün .NET Kaynak bölümüne taşındığını ve XOR kodlamasıyla maskelendiğini, böylece imza tabanlı algılama ve sezgisel taramayı atlattığını belirtiyor. Çekirdek mimari ve özel web panelleri veya Telegram Bot API aracılığıyla veri sızdırma yöntemleri eski sürümlerle benzerlik gösteriyor.
Yeni varyant, çalınan verileri yeni bir siteye (hxxp[:]194.87.92[.]109) sızdırıyor. Unit 42'nin analizine göre, bu site keşfedildiğinde VirusTotal'da hiçbir algılama bulunmuyordu; site, ilişkili URL'ler veya alınan hiçbir eser tespit edilmemişti. Veri hırsızlığı sonrası, Gremlin çalınan eserleri bir ZIP arşivine paketliyor. Arşiv, tarayıcı çerezleri, oturum token'ları, pano içerikleri, kripto para cüzdanı verileri, FTP ve VPN kimlik bilgilerini içeriyor.
Son sürümdeki önemli iyileştirmeler arasında Discord token'larını çıkarmak için özel bir modül bulunuyor. Bu modül, sosyal mühendislik saldırılarıyla dijital kimlikleri hedeflemek için kullanılabiliyor. Ayrıca, 'kripto clipper' işlevi eklendi. Bu işlev, kurbanın panosundaki cüzdan adreslerini izleyerek saldırganın kontrolündeki adreslerle değiştiriyor ve fonları gerçek zamanlı olarak yönlendiriyor. Güncellenmiş sürüm ayrıca WebSocket tabanlı oturum ele geçirme yeteneği sunuyor, bu da saldırganların aktif tarayıcı oturumlarını doğrudan çalışan işlemden ele geçirmesine olanak tanıyor.