Im Zentrum der Untersuchung steht eine Software, die von Dragon Boss Solutions signiert ist. Das Unternehmen beschreibt sich selbst als Forschungsfirma für Suchmaschinen-Monetarisierung mit Sitz in den Vereinigten Arabischen Emiraten. Was lange als potenziell unerwünschtes Programm mit Browser-Hijacking eingestuft wurde, hat sich nach den Erkenntnissen von Huntress unbemerkt gewandelt.

Seit März 2025 lieferte das Programm eine PowerShell-basierte Schadkomponente aus, die mit erhöhten Rechten arbeitet. Sie deaktiviert Sicherheitsprodukte, sperrt deren Update-Server und unterbindet eine erneute Installation. Die Persistenz sichert sich die Malware über fünf geplante Aufgaben sowie WMI-Ereignisabonnements, die Neustarts überstehen. Zusätzlich trägt sie in Windows Defender Ausnahmen für jene Verzeichnisse ein, in denen künftige Schadlasten abgelegt werden sollen — denkbar sind etwa Kryptominer, Ransomware oder Infostealer.

Der gravierendste Fund betraf die Update-Konfiguration: Die primäre Domain für die Auslieferung der Payload-Updates (chromsterabrowser[.]com) war nicht registriert. Wer sie gekauft hätte, hätte beliebigen Code an jeden betroffenen Host ausliefern können — ohne jeglichen Exploit, da der Virenschutz auf diesen Systemen ohnehin abgeschaltet war.

Huntress registrierte die Domain, bevor es jemand anderes tun konnte, leitete sie auf eine Sinkhole um und beobachtete das Geschehen. Rund 25.000 eindeutige IP-Adressen — reale Endpunkte in Produktivumgebungen, die nach Update-Anweisungen suchten — meldeten sich.

Die Infektionen verteilten sich auf 124 Länder. Auf die Vereinigten Staaten entfielen mehr als 12.000 Hosts, gefolgt von Frankreich, Kanada, dem Vereinigten Königreich und Deutschland mit jeweils rund 2.000 Hosts.

Besonders beunruhigend war das Ausmaß der Infektionen bei hochwertigen Zielen. 324 der beobachteten Hosts gehörten zu sensiblen Netzwerken: 221 Universitäten und Hochschulen, 41 Netzwerke der Betriebstechnik (OT), 35 Regierungsstellen und drei Gesundheitseinrichtungen. Die betroffenen OT-Netze gehörten zu Stromversorgern, Verkehrsbetrieben, Energiegenossenschaften und kritischer Infrastruktur. Auch mehrere Fortune-500-Unternehmen fanden sich unter den betroffenen Netzwerken.

Huntress fordert Organisationen auf, gezielt nach Kompromittierungsindikatoren (IoCs) zu suchen, um eine mögliche Betroffenheit durch diese Kampagne festzustellen.