Enquanto a carga útil final naquele visando as entidades ucranianas era um backdoor malicioso conhecido como Smokeloader, o GitHub instalado Amadey, uma plataforma de malware separada conhecida.Na Operação Talos identificada, os operadores utilizaram Amadey para baixar uma variedade de famílias de malware de repositórios falsos do GitHub em hosts infectados.Pesquisadores da equipe de segurança da Cisco da Cisco descobriram um operador de malware como serviço que usou contas públicas do GitHub como um canal para distribuir uma variedade de software malicioso para metas.Os Talos encontraram a mesma variante Emmenhtal na operação do MAAS, só que desta vez o carregador foi distribuído através do GitHub.Depois que um alvo foi infectado com a Amadey, os operadores de campanha poderiam escolher quais cargas úteis entregá -lo através de um URL simples do GitHub.
