APTToddyCat from securelist.com

復号化されると、ファイルには、次のステージのインストールに使用される複数のペイロードと値を含む構造が表示されます。
websvc.dllの読み込みと実行に使用されるコードスニペット
さらに、このツールは複数のプロトコルを使用して通信するように構成でき、検出を回避する機能が含まれており、一般的なホスト名とURLパスの組み合わせを使用して正当に見せようとするHTTPおよびHTTPSリクエスト内の悪意のあるトラフィックをカモフラージュします。
この情報は、エージェントがC2との接続を初期化するために使用されます。
また、この値は、攻撃者が特定のコマンドを使用して変更する可能性があります。
たとえば、攻撃者がシェルを開始したい場合は、コマンド「20010」を使用する必要があります。