Die Infektionskette beginnt mit der JavaScript-Datei OYSTERFRESH aus dem heruntergeladenen ZIP-Archiv. Sie blendet ein Köderdokument ein und schreibt parallel eine verschleierte und verschlüsselte Nutzlast namens OYSTERBLUES in die Windows-Registry. Zusätzlich lädt und startet sie die Komponente OYSTERSHUCK, die für das Entschlüsseln von OYSTERBLUES zuständig ist.

OYSTERBLUES sammelt anschließend eine Reihe von Systeminformationen, darunter den Computernamen, das Benutzerkonto, die Version des Betriebssystems, den Zeitpunkt des letzten Systemstarts sowie eine Liste laufender Prozesse. Die erhobenen Daten werden per HTTP-POST-Anfrage an einen Command-and-Control-Server übertragen.

Danach wartet die Schadsoftware auf weitere Antworten mit JavaScript-Code für die nächste Stufe, der über die Funktion eval() ausgeführt wird. Als finale Nutzlast vermutet CERT-UA Cobalt Strike. Zur Eindämmung empfiehlt der Dienst grundlegende Maßnahmen zur Reduzierung der Angriffsfläche, insbesondere die Ausführung von wscript.exe für Standardbenutzerkonten einzuschränken.

Parallel dazu legte der ukrainische Rat für nationale Sicherheit und Verteidigung dar, dass Russland KI-Werkzeuge wie OpenAI ChatGPT und Google Gemini einsetzt, um Ziele auszukundschaften und die Technik in Schadsoftware einzubetten, damit zur Laufzeit schädliche Befehle erzeugt werden. Dem Rat zufolge führen Kreml-nahe Gruppen Cyberangriffe durch, die auf das Beschaffen von Informationen und eine langfristige Präsenz in kompromittierten Netzwerken zielen – auch zur Unterstützung von Einflussoperationen.

Als wichtigste Wege für den ersten Zugriff im Jahr 2025 nennt der Rat Social Engineering, das Ausnutzen von Schwachstellen, die Verwendung kompromittierter RDP- und VPN-Zugänge, Angriffe auf Lieferketten sowie unlizenzierte Software, die bereits bei der Installation eingebaute Hintertüren enthält. Die Angreifer hätten sich darauf konzentriert, vertrauliche Informationen zu stehlen, Kommunikation abzufangen und den Aufenthaltsort von Zielpersonen nachzuverfolgen.

In einem damit verbundenen Fall wurden Details zu einer kremlnahen Propagandakampagne bekannt, die seit 2024 echte Konten von Bluesky-Nutzern übernommen hat, um gefälschte Inhalte zu verbreiten. Betroffen waren unter anderem Journalisten und Hochschullehrer. Zugeschrieben wird die Aktivität einem in Moskau ansässigen Unternehmen namens Social Design Agency, das mit der als Matryoshka bekannten Kampagne in Verbindung steht. In einigen Fällen hat Bluesky die betroffenen Konten gesperrt, bis deren Inhaber ein Zurücksetzen veranlassen.