Nach Einschätzung von CERT-EU enthielt der entwendete Datensatz mindestens knapp 52.000 Dateien, die mit ausgehender E-Mail-Kommunikation in Zusammenhang standen und zusammen 2,2 Gigabyte umfassten. Die Behörde geht davon aus, dass die meisten dieser Nachrichten automatisiert verschickt wurden und kaum oder keine Inhalte enthielten. In einzelnen Fällen könnten jedoch Unzustellbarkeitsmeldungen das Risiko bergen, dass personenbezogene Daten offengelegt wurden.

Mit hoher Zuversicht führt CERT-EU den ursprünglichen Zugang auf die Kompromittierung der Lieferkette von Trivy zurück, die der Gruppe TeamPCP zugeschrieben wird. Die Forscher begründen diese Zuordnung mit dem zeitlichen Ablauf, den angegriffenen Ressourcen sowie der Tatsache, dass die Kommission im fraglichen Zeitraum unwissentlich eine kompromittierte Version von Trivy verwendete, die sie über die üblichen Software-Update-Kanäle erhalten hatte.

Die Angreifer erlangten zudem Verwaltungsrechte für den kompromittierten AWS-API-Schlüssel. Diese hätten es ihnen ermöglichen können, sich seitlich zu weiteren AWS-Konten der Europäischen Kommission zu bewegen. Anzeichen für eine solche Bewegung gibt es dem Bericht zufolge bislang nicht.

Am 28. März tauchten die gestohlenen Daten auf der Darknet-Seite von ShinyHunters auf. CERT-EU zufolge behauptete ShinyHunters, man habe Datenabzüge von Mailservern, Datenbanken, vertrauliche Dokumente, Verträge und weiteres sensibles Material erbeutet. Der Vorfall ist laut Bericht ein weiteres Beispiel dafür, dass cyberkriminelle Organisationen zusammenarbeiten, um aus Angriffen Profit zu schlagen.

TeamPCP wird zudem für den jüngsten Cyberangriff auf LiteLLM verantwortlich gemacht, von dem nach Angaben eines Mercor-Sprechers das Unternehmen Mercor und Tausende weitere Organisationen betroffen waren. Nach Darstellung von Aqua Security wird die Gruppe darüber hinaus mit wurmgetriebener Ransomware, Datenexfiltration und Cryptomining-Kampagnen in Verbindung gebracht.