Der Ablauf der von XLab beobachteten Angriffe beginnt mit der Ausnutzung von CVE-2026-26980, um die Schlüssel der Admin-API zu stehlen. Mit den so erlangten erweiterten Rechten schleusen die Angreifer anschließend schädliches JavaScript in Artikel ein.

Bei dem eingeschleusten Code handelt es sich um einen schlanken Loader, der eine zweite Stufe von der Infrastruktur der Angreifer nachlädt. Diese zweite Stufe ist im Kern ein Cloaking-Skript, das Besucher per Fingerprinting daraufhin überprüft, ob sie als Ziel infrage kommen.

Wer die Prüfung besteht, bekommt eine gefälschte Cloudflare-Abfrage angezeigt, die über ein iframe über der Artikelseite geladen wird und den ClickFix-Köder enthält. Die Seite fordert die Opfer auf, sich als Mensch zu verifizieren, indem sie einen vorgegebenen Befehl in die Windows-Eingabeaufforderung einfügen. Dadurch wird eine Schaddatei auf ihrem System abgelegt.

XLab beobachtete mehrere eingesetzte Payloads, darunter DLL-Loader, JavaScript-Dropper sowie eine auf Electron basierende Schadsoftware namens UtilifySetup.exe.

Auch SentinelOne veröffentlichte am 27. Februar Details zur aktiven Ausnutzung von CVE-2026-26980 und zur Erkennung entsprechender Vorfälle. Die Forscher beobachteten mindestens zwei voneinander getrennte Aktivitätscluster, die verwundbare Ghost-Seiten ins Visier nahmen. Teilweise infizierten sie dieselben Domains nach einer Bereinigung erneut mit anderen Skripten, oder eine Gruppe entfernte das Skript der anderen, um ihr eigenes zu platzieren.

Als wichtigste Maßnahme empfiehlt XLab den Administratoren von Ghost-CMS-Websites, auf Version 6.19.1 oder neuer zu aktualisieren und alle zuvor verwendeten Schlüssel auszutauschen, da diese kompromittiert sein könnten. Zudem stellten die Forscher eine Liste von Kompromittierungsindikatoren bereit, einschließlich der eingeschleusten Skripte; eine gründliche Prüfung der Websites sei nötig, um sie aufzuspüren und zu entfernen. Darüber hinaus raten sie Website-Betreibern, Protokolle der Admin-API-Aufrufe über 30 Tage vorzuhalten, um spätere Untersuchungen zuverlässig durchführen zu können.