Nach Darstellung von Bitdefender verlief der Angriff in drei Wellen, in denen die Täter zwei unterschiedliche Backdoors einsetzten. Zum einen Deed RAT (auch Snappybee), einen Nachfolger von ShadowPad, der von mehreren mit China verbundenen Spionagegruppen genutzt wird. Zum anderen TernDoor, das kürzlich bei Angriffen auf Telekommunikationsinfrastruktur in Südamerika seit 2024 entdeckt wurde.
Das Einfallstor blieb über alle Wellen hinweg dasselbe: Am 25. Dezember 2025 kam Deed RAT zum Einsatz, Ende Januar/Anfang Februar 2026 folgte TernDoor und Ende Februar 2026 eine modifizierte Variante von Deed RAT. „Diese Operation sollte nicht als isolierter Vorfall betrachtet werden, sondern als anhaltende und anpassungsfähige Operation eines Akteurs, der wiederholt versuchte, den Zugang zur Opferumgebung zurückzugewinnen und auszuweiten", erklärte Bitdefender. Über mehrere Wellen hinweg sei derselbe Zugangsweg erneut genutzt, neue Schadcode-Varianten eingeschleust und zusätzliche Standbeine geschaffen worden.
Auf den initialen Zugriff folgten den Angaben zufolge Versuche, Web-Shells abzulegen, um sich dauerhaft festzusetzen, und schließlich Deed RAT mittels einer weiterentwickelten DLL-Side-Loading-Technik einzuschleusen. Diese missbraucht die legitime Anwendung LogMeIn Hamachi, um eine manipulierte DLL zu laden, die wiederum die eigentliche Schadlast ausführt. Anders als beim üblichen DLL-Side-Loading, das auf simplem Dateiaustausch beruht, überschreibe diese Methode zwei bestimmte exportierte Funktionen innerhalb der manipulierten Bibliothek, so Bitdefender. Daraus entstehe ein zweistufiger Auslöser, der die Ausführung des Deed-RAT-Loaders an den natürlichen Kontrollfluss der Wirtsanwendung knüpfe. Innerhalb des kompromittierten Netzwerks bewegten sich die Angreifer zudem lateral und legten ein redundantes Standbein an, um auch nach einer Entdeckung handlungsfähig zu bleiben.
Die zweite Welle erfolgte fast einen Monat nach dem ersten Eindringen. Hier scheiterte der Versuch, TernDoor per DLL-Side-Loading über den Mofu Loader abzulegen — einen Shellcode-Loader, der zuvor der Gruppe GroundPeony zugeschrieben wurde.
Ein drittes Mal griffen die Täter gegen Ende Februar 2026 an und versuchten erneut, eine modifizierte Version von Deed RAT einzuschleusen, was nach Einschätzung von Bitdefender auf aktive Bemühungen zur Verfeinerung des Schadcode-Arsenals hindeutet. Dieses Artefakt nutzt die Domain „sentinelonepro[.]com" zur Steuerung (Command-and-Control).
Bitdefender hält fest, dass Akteure denselben Zugangsweg so lange ausnutzen und erneut ausnutzen, bis die ursprüngliche Schwachstelle gepatcht, kompromittierte Zugangsdaten ausgetauscht und die Rückkehrmöglichkeit des Angreifers vollständig unterbunden ist.