Kern des Angriffs ist der Missbrauch zweier Obsidian-Plugins: Shell Commands und Hider. Über Shell Commands lässt sich Code ausführen, sobald ein Opfer den präparierten Vault öffnet; Hider blendet Oberflächenelemente wie Statusleiste, Bildlaufleiste und Tooltips aus, um den Vorgang zu verschleiern. Da die Synchronisierung der Community-Plugins standardmäßig deaktiviert ist und sich nicht aus der Ferne einschalten lässt, müssen die Angreifer ihre Opfer per Social Engineering dazu bringen, die Funktion manuell zu aktivieren. Erst dann kann die manipulierte Vault-Konfiguration die Befehlsausführung anstoßen.

Die Forscher betonen, dass die Technik trotz des nötigen Social Engineering bemerkenswert sei: Sie missbrauche eine legitime Anwendungsfunktion als Kanal für Persistenz und Befehlsausführung, die Schadlast liege vollständig in JSON-Konfigurationsdateien, die kaum klassische Antiviren-Signaturen auslösten, und die Ausführung werde von einer signierten, vertrauenswürdigen Electron-Anwendung übernommen. Damit werde die Erkennung über den übergeordneten Prozess zur entscheidenden Verteidigungsebene.

Je nach Betriebssystem laufen unterschiedliche Ausführungspfade ab. Unter Windows rufen die Befehle ein PowerShell-Skript auf, das einen Zwischen-Loader namens PHANTOMPULL ablegt. Dieser entschlüsselt PHANTOMPULSE und startet ihn direkt im Arbeitsspeicher.

PHANTOMPULSE bezeichnet Elastic als KI-generierte Backdoor. Zur Auflösung seines Command-and-Control-Servers (C2) nutzt der Schädling die Ethereum-Blockchain: Er ruft die jüngste Transaktion einer fest einprogrammierten Wallet-Adresse ab. Mit der so gewonnenen C2-Adresse kommuniziert die Malware über WinHTTP, übermittelt Systemtelemetrie, holt Befehle ab und sendet Ergebnisse zurück, lädt Dateien oder Screenshots hoch und zeichnet Tastatureingaben auf. Die unterstützten Befehle sind auf umfassenden Fernzugriff ausgelegt.

Auf macOS liefert das Shell-Commands-Plugin einen verschleierten AppleScript-Dropper, der eine fest hinterlegte Domainliste durchläuft und Telegram als Dead-Drop-Resolver für die ersatzweise C2-Auflösung verwendet. Das erlaubt es den Angreifern, ihre Infrastruktur leicht zu wechseln, sodass eine reine Domain-Sperre nicht ausreicht. Im letzten Schritt kontaktiert das Skript die C2-Domain, um über osascript eine zweite Schadstufe nachzuladen. Worum es sich dabei handelt, ist unklar, da die C2-Server derzeit offline sind.

Laut Elastic zeigt REF6598, wie Angreifer durch den Missbrauch vertrauenswürdiger Anwendungen und gezieltes Social Engineering immer neue Wege für den Erstzugriff finden. Indem sie das Community-Plugin-Ökosystem von Obsidian ausnutzten, statt eine Softwarelücke auszunutzen, umgingen sie herkömmliche Sicherheitskontrollen vollständig und stützten sich auf die vorgesehene Funktionalität der Anwendung, um beliebigen Code auszuführen.