Laut der Analyse von Trend Micro beginnt die Angriffskette von SHADOW-EARTH-053 mit der Ausnutzung bekannter Sicherheitslücken in ungepatchten, aus dem Internet erreichbaren Systemen. Über Schwachstellen in Microsoft Exchange und Internet Information Services (IIS) – etwa die ProxyLogon-Kette – verschaffen sich die Angreifer Zugriff und platzieren die Webshell Godzilla für dauerhaften Fernzugriff. Diese dient als Werkzeug zur Befehlsausführung und Erkundung und mündet schließlich in der Installation des ShadowPad-Backdoors, der über AnyDesk verteilt und mittels DLL-Sideloading legitimer signierter Programme gestartet wird.

In mindestens einem Fall soll die Ausnutzung von React2Shell (CVE-2025-55182) die Verbreitung einer Linux-Variante des Noodle RAT (auch ANGRYREBEL und Nood RAT genannt) ermöglicht haben. Die Google Threat Intelligence Group (GTIG) brachte diese Angriffskette mit einer als UNC6595 geführten Gruppe in Verbindung.

Zum Werkzeugkasten der Gruppe zählen quelloffene Tunneling-Werkzeuge wie IOX, GO Simple Tunnel (GOST) und Wstunnel sowie RingQ, um schädliche Binärdateien zu verpacken und der Erkennung zu entgehen. Für die Rechteausweitung kommt Mimikatz zum Einsatz, die seitliche Bewegung im Netzwerk erfolgt über einen eigenen RDP-Launcher und eine C#-Umsetzung von SMBExec namens Sharp-SMBExec.

Trend Micro beobachtete, dass nahezu die Hälfte der Ziele – besonders in Malaysia, Sri Lanka und Myanmar – zuvor auch von einem verwandten Cluster namens SHADOW-EARTH-054 kompromittiert worden war, ohne dass sich Hinweise auf eine direkte operative Abstimmung fanden. Als Hauptangriffsweg nennt der Hersteller Schwachstellen in über das Internet erreichbaren IIS-Anwendungen und rät dazu, aktuelle Sicherheits- und Sammel-Updates für Exchange und IIS-gehostete Web-Anwendungen vorrangig einzuspielen. Wo sofortiges Patchen nicht möglich sei, empfiehlt Trend Micro Intrusion-Prevention-Systeme oder Web Application Firewalls mit Regelsätzen, die gezielt Exploit-Versuche gegen die bekannten CVEs blockieren (virtuelles Patchen).

Zeitgleich machte das Citizen Lab eine Phishing-Kampagne zweier verschiedener China-naher Akteure öffentlich, die erstmals im April beziehungsweise Juni 2025 entdeckt wurde. Die Cluster tragen die Namen GLITTER CARP, das es auf das International Consortium of Investigative Journalists (ICIJ) abgesehen hatte, und SEQUIN CARP, dessen Hauptziel die ICIJ-Journalistin Scilla Alecci sowie weitere internationale Journalisten waren, die über für die chinesische Regierung heikle Themen berichten.

Laut Citizen Lab setzen die Angreifer ausgefeilte digitale Täuschungen ein, indem sie sich in Phishing-Mails als bekannte Personen oder als Sicherheitswarnungen von Technologiekonzernen ausgeben; trotz unterschiedlicher Zielgruppen nutzen sie dieselbe Infrastruktur und wiederholt dieselben Domains und vorgetäuschten Identitäten. GLITTER CARP wurde zudem mit Phishing gegen die taiwanische Halbleiterindustrie in Verbindung gebracht – Aspekte davon hatte Proofpoint im Juli 2025 unter dem Namen UNK_SparkyCarp dokumentiert. SEQUIN CARP weist Ähnlichkeiten mit einer von Volexity als UTA0388 geführten Gruppe sowie mit dem von Trend Micro als TAOTH beschriebenen Cluster auf.

Ziel der Kampagnen ist der Erstzugriff auf E-Mail-Konten – über das Abgreifen von Zugangsdaten, Phishing-Seiten oder das Erschleichen von OAuth-Tokens. GLITTER CARP setzt zudem 1×1-Pixel zur Nachverfolgung ein, die auf eine angreifereigene Domain verweisen, um Geräteinformationen zu sammeln und das Öffnen der Mails zu bestätigen. Mit mittlerer Zuversicht hält das Citizen Lab es für möglich, dass vom chinesischen Staat beauftragte kommerzielle Akteure hinter beiden Clustern stehen; die identifizierten Ziele deckten sich mit den nachrichtendienstlichen Prioritäten Chinas.