Der Update-Prozess des TrueConf-Clients setzt darauf, dass der angebundene lokale Server neue Versionen bereitstellt und installiert – ohne dass dabei die erforderlichen Integritäts- und Authentizitätsprüfungen stattfinden. Laut Check Point startet der Update-Vorgang, sobald der Client eine zugunsten des Servers abweichende Versionsnummer erkennt: Der Nutzer wird dann auf eine neuere Version hingewiesen und zum Download aufgefordert.

Im beobachteten Angriff kompromittierten die Täter den lokalen TrueConf-Server, ersetzten das Update-Paket durch eine manipulierte Variante und schickten dem Ziel vermutlich einen Link, um den Client zu starten und den Update-Vorgang auszulösen. Nach Angaben von Check Point wurde der betroffene Server von der staatlichen IT-Abteilung betrieben und diente Dutzenden Regierungsstellen im ganzen Land als Videokonferenz-Plattform – sie alle erhielten dasselbe schädliche Update.

Neben den legitimen Installationskomponenten brachte das veränderte Update-Paket eine schädliche Bibliothek sowie eine legitime ausführbare Datei mit, die per DLL-Sideloading zum Ausführen der Bibliothek missbraucht wurde. Der so eingeschleuste Implantat-Code ermöglichte es den Angreifern, Aufklärung zu betreiben, eine spätere seitliche Bewegung im Netzwerk vorzubereiten, sich dauerhaft einzunisten und weitere Schadmodule nachzuladen.

Die finale Schadkomponente wurde zwar nicht abgerufen, doch Check Point beobachtete Netzwerkverkehr zu einer IP-Adresse, die als Command-and-Control-Infrastruktur für Havoc dient – ein quelloffenes Framework für die Phase nach der Erstinfektion. Das Unternehmen geht davon aus, dass ein chinesischer Akteur hinter dem Eindringen steht.

Der entscheidende Punkt: Die Ausnutzung von CVE-2026-3502 erforderte keine Kompromittierung jedes einzelnen Endpunkts. Stattdessen missbrauchten die Angreifer das Vertrauensverhältnis zwischen dem zentralen lokalen TrueConf-Server und seinen Clients.

TrueConf behob die Zero-Day-Lücke in Client-Version 8.5.3, die im März erschien. Die US-Cybersicherheitsbehörde CISA nahm die Schwachstelle am Donnerstag in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities) auf und forderte Bundesbehörden auf, sie bis zum 16. April zu patchen.