Nach Angaben von Cisco Talos verhielt sich UAT-8616 nach der erfolgreichen Ausnutzung von CVE-2026-20182 ähnlich wie zuvor bei CVE-2026-20127. Demnach versuchte die Gruppe, SSH-Schlüssel hinzuzufügen, NETCONF-Konfigurationen zu verändern und sich Root-Rechte zu verschaffen.
Die für die Angriffe und die anschließenden Aktivitäten genutzte Infrastruktur überschneidet sich nach Einschätzung von Cisco mit sogenannten Operational-Relay-Box-Netzwerken (ORB). Zugleich beobachtete das Unternehmen, dass seit März 2026 mehrere Akteursgruppen die Schwachstellen CVE-2026-20133, CVE-2026-20128 und CVE-2026-20122 ausnutzen.
Diese drei Lücken lassen sich verketten: Kombiniert ermöglichen sie es einem entfernten, nicht authentifizierten Angreifer, unbefugten Zugriff auf das Gerät zu erlangen. CISA hatte sie bereits im vergangenen Monat in ihren KEV-Katalog aufgenommen.
Bei den Angriffen kommt öffentlich verfügbarer Proof-of-Concept-Exploit-Code zum Einsatz, mit dem auf kompromittierten Systemen Web-Shells installiert werden. Über diese können die Angreifer beliebige Bash-Befehle ausführen. Eine auf JavaServer Pages (JSP) basierende Web-Shell trägt den Namen XenShell, da sie auf einem von ZeroZenX Labs veröffentlichten Proof-of-Concept beruht.
Insgesamt brachte Cisco mindestens zehn verschiedene Akteursgruppen mit der Ausnutzung der drei Schwachstellen in Verbindung. Das Unternehmen empfiehlt seinen Kunden, die in den jeweiligen Sicherheitshinweisen genannten Vorgaben und Empfehlungen zu befolgen, um ihre Umgebungen abzusichern.