Các tác nhân đe dọa thường sử dụng các framework phần mềm hậu khai thác trong các cuộc tấn công mạng để duy trì quyền kiểm soát các máy chủ bị xâm nhập và di chuyển ngang trong mạng lưới của tổ chức. Mặc dù trước đây chúng ưa chuộng các framework mã nguồn đóng, chẳng hạn như Cobalt Strike và Brute Ratel C4, nhưng các dự án mã nguồn mở như Mythic, Sliver và Havoc đã trở nên phổ biến hơn trong những năm gần đây. Các tác nhân độc hại cũng nhanh chóng áp dụng các framework tương đối mới, chẳng hạn như Adaptix C2. Phân tích cho thấy việc phát triển tập trung chủ yếu vào né tránh sự phát hiện của các giải pháp chống virus và EDR. Dựa trên báo cáo của Kaspersky, bài viết này xem xét các phương pháp phát hiện framework phần mềm Mythic trong cơ sở hạ tầng bằng cách phân tích lưu lượng mạng.