Qianxin berichtete kürzlich, dass CVE-2026-26980 in Massenangriffen gegen ungepatchte Ghost-Instanzen ausgenutzt wird. Die Angreifer nutzten die Lücke, um den Admin-API-Schlüssel der betroffenen Seiten zu erbeuten, und veränderten anschließend über die Programmierschnittstelle die auf den Ghost-Seiten veröffentlichten Artikel.

Konkret schleusten die Täter schädliche JavaScript-Loader ein, die auf sogenannte ClickFix-Angriffe ausgelegt sind. Der Kompilierungszeitstempel einer im Angriff verwendeten DLL-Datei lautet auf den 16. Februar – jenen Tag, an dem ein Patch für CVE-2026-26980 angekündigt wurde. Kompromittierte Websites beobachtete Qianxin nach eigenen Angaben ab Anfang Mai.

Das Sicherheitsunternehmen identifizierte mehr als 700 im Rahmen der Kampagne kompromittierte Websites, darunter Seiten großer Organisationen wie DuckDuckGo, der Harvard University und der Oxford University.

Eine Auswertung ergab, dass fast die Hälfte der gekaperten Seiten persönliche Blogs und unabhängige Websites sind. Dutzende gehören jedoch zu Software-Entwicklungs- und Tech-Blogs sowie zu Akteuren aus den Bereichen KI, Kryptowährungen und weiteren Branchen.

Qianxin hat viele der Betroffenen gewarnt, doch die große Mehrheit reagierte den Angaben zufolge nicht auf die Hinweise. „Mindestens zwei Gruppen führen derzeit aktiv solche Vergiftungsoperationen durch, und einige Seiten sind sogar zum Gegenstand eines Wettbewerbs zwischen den beiden Parteien geworden, bei dem innerhalb eines einzigen Tages nacheinander unterschiedlicher Schadcode eingeschleust wurde“, erklärte Qianxin.