Die Bedrohungsanalysten des Unternehmens Vega haben die Angriffskampagne gegen Weaver E-cology dokumentiert und analysiert. Die kritische Schwachstelle CVE-2026-22679 betrifft die Version 10.0 vor Build vom 12. März und basiert auf einer gravierenden Designfalle: Ein exponierter Debug-API-Endpunkt erlaubt es Angreifern, benutzerdefinierte Parameter direkt an die Backend-RPC-Funktionalität zu übergeben — völlig ohne Authentifizierung oder Input-Validierung. Das Ergebnis ist verheerend: Attackers können handgefertigte Werte als Systembefehle auf dem Server ausführen.
Weaver E-cology ist eine Enterprise-Plattform für Workflow-Automatisierung, Dokumentenverwaltung, HR-Prozesse und interne Geschäftsabläufe. Sie wird vor allem im chinesischen Raum eingesetzt, findet sich aber auch in internationalen Konzernen.
Die dokumentierten Angriffe zeigen ein klassisches Exploitations-Muster: Zunächst führten die Hacker Ping-Befehle aus, um RCE-Fähigkeiten zu testen und Callback-Verbindungen zu etablieren. Dann versuchten sie, PowerShell-basierte Payloads herunterzuladen — alle Versuche wurden jedoch durch Endpoint-Schutzlösungen blockiert. Ein weiterer Versuch, einen speziell gefertigten MSI-Installer (fanwei0324.msi) bereitzustellen, scheiterte ebenfalls. Daraufhin wechselten die Angreifer zu obfuskierter und dateiloser PowerShell, um wiederholt externe Skripte abzurufen.
Bemerkenswert ist, dass die Angreifer trotz RCE-Zugriff nie eine persistente Sitzung auf dem Zielsystem etablierten. Sie führten primär Aufklärungsbefehle aus — whoami, ipconfig, tasklist — ohne Persistenz-Mechanismen zu hinterlassen.
Der Hersteller hat den problematischen Debug-Endpunkt in Build 20260312 vollständig entfernt. Nutzer müssen dieses Update zeitnah einspielen; Alternative Mitigationen oder Workarounds stehen nicht zur Verfügung. Für deutsche Unternehmen, die Weaver E-cology betreiben, ist rasches Handeln erforderlich — nicht nur aus Sicherheitsgründen, sondern auch um DSGVO-Compliance zu gewährleisten und potenzielle Meldepflichten zu vermeiden.