Die Kampagne nutzt eine besonders raffinierte Kombination aus Social Engineering und technischer Manipulation. Zunächst werden potenzielle Opfer auf LinkedIn angesprochen und in einen Telegram-Chat mit vermeintlichen Partnern involviert, wo diskret über Finanzdienstleistungen und Kryptoliquiditätslösungen gesprochen wird. Dies verleiht der Operation eine oberflächliche Glaubwürdigkeit.
Der entscheidende Angriffsvektor ist dann die Obsidian-Anwendung selbst. Die Ziele werden aufgefordert, ein gemeinsames Cloud-Vault mit bereitgestellten Anmeldedaten zu öffnen. Wenn sie das Vault öffnen, werden sie dazu gebracht, die “Installed Community Plugins”-Synchronisierung zu aktivieren. Diese Aktivierung ist der Auslöser für die Ausführung von Schadcode.
Die Forscher Salim Bitam, Samir Bousseaden und Daniel Stepanic erklären: “Die Bedrohungsakteure missbrauchen Obsidians legitimes Community-Plugin-Ökosystem, speziell die Plugins ‘Shell Commands’ und ‘Hider’, um Code auszuführen, wenn ein Opfer ein gemeinsames Cloud-Vault öffnet.”
Weil diese Funktion standardmäßig deaktiviert ist und nicht ferngesteuert aktiviert werden kann, müssen Angreifer das Opfer manuell zur Aktivierung überreden. Das Shell-Commands-Plugin ermöglicht dann die Ausführung von PowerShell-Skripten, während das Hider-Plugin Benutzeroberflächenelemente verbirgt – alles darauf ausgerichtet, Verdacht zu vermeiden.
PHANTOMPULSE selbst ist ein künstlich erzeugter Trojaner, der eine innovative Technik zur Kommunikation nutzt: Er verwendet die Ethereum-Blockchain zur Auflösung seines Command-and-Control-Servers, indem er Transaktionen einer vordefinierten Wallet-Adresse abruft. Dies macht herkömmliche Domain-basierte Abwehr wirkungslos. Die Malware übernimmt nach Erlangung der C2-Adresse klassische RAT-Funktionen wie Systemtelemetrie, Befehlsausführung, Dateidownloads, Screenshot-Erfassung und Tastenanschlag-Protokollierung.
Auf macOS wird ein obfuskiertes AppleScript-Dropper-Skript verwendet, das zusätzlich Telegram als Fallback-C2-Resolver nutzt und dadurch flexible Infrastrukturrotation ermöglicht.
Was diesen Fall besonders bemerkenswert macht: Es werden keine Software-Schwachstellen ausgenutzt, sondern legitimale Anwendungsfunktionen missbraucht. Damit umgehen die Angreifer traditionelle Sicherheitskontrollen vollständig. Elastic fasst zusammen: “REF6598 demonstriert, wie Bedrohungsakteure weiterhin kreative initiale Zugriffsvektoren finden, indem sie vertrauenswürdige Anwendungen missbrauchen und gezieltes Social Engineering einsetzen.” Der Angriffsversuch wurde letztlich erkannt und blockiert, bevor kritische Ziele erreicht wurden.