在惡意軟件分析師與開發人員就使用該工具的攻擊進行質詢后，新的名為 CodeRAT 遠程訪問木馬 (RAT) 的開發者在 GitHub 上公開了其源代碼。網絡安全公司 SafeBreach 報告稱，CodeRAT 通過使用包含 Microsoft 動態數據交換 (DDE) 漏洞的 Microsoft Word 文檔來針對講波斯語的代碼開發人員。

CodeRAT 支持大約 50 種與文件、進程操作和屏幕捕獲、剪貼板、文件和環境信息的竊取功能相關的不同命令，還支持用于升級或安裝其他惡意軟件二進制文件的命令。并具有針對 web 郵件、Microsoft Office 文檔、數據庫、社交網絡平臺、Windows Android 的集成開發環境 (IDE) 甚至 PayPal 等個人網站的廣泛監控功能，以及監視 Visual Studio、Python、PhpStorm 和 Verilog 等工具的敏感窗口。

CodeRAT 的通信方式是通用的并且非常獨特的，支持使用 bot API 或 USB 閃存驅動器通過 Telegram 組進行通信。它還可以在 silent 模式下運行，其中包括不返回報告。CodeRAT 使用匿名的公共上傳站點，而不是專用的 C2 服務器，并使用反檢測技術將其使用時間限制為 30 天。此外，它將使用 HTTP Debugger 網站作為代理與其 C2 Telegram group 進行通信。 

當研究人員聯系惡意軟件開發者時，其惡意活動已突然停止；但盡管如此，BleepingComputer 指出，由于作者公開了源代碼，CodeRAT 可能會變得更加流行。

攻擊者可以通過構建和混淆命令的 UI 工具生成命令，然后使用以下三種方法之一將它們傳輸到惡意軟件：

• 帶代理的 Telegram bot API（無直接請求）
• 手動模式（包括 USB 選項）
• “myPictures” 文件夾中本地存儲的命令

同樣的三種方法也可用于數據泄露，包括單個文件、整個文件夾或針對特定文件擴展名。

如果受害者所在的國家 / 地區禁止了 Telegram，CodeRAT 會提供反過濾功能，該功能會建立一個單獨的請求路由通道，幫助繞過封鎖。

據稱，該惡意軟件可以在重啟之間持續存在，而不對 Windows 注冊表進行任何更改，但 SafeBreach 并沒有提供有關這一功能的任何細節。CodeRAT 帶有強大的功能，很可能會吸引其他網絡犯罪分子。?