По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB

Возможно, декодирование не получается из-за того, что строка пароля в вашем Groups.xml не кратна 4, следует добавить к ней символы "=". И декодировать следует в файл (обычные онлайн декодеры могут не подойти, нужно использовать Base64 to file или Base64 to Hex)

По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB

Используется DNS туннелирование с периодом ожидания, инкапсулированный траффик шифруется — при отправки информации с зараженных машин в логах просто периодически возникают DNS запросы «длинных» случайных поддоменов.