Das Sicherheitsunternehmen Mandiant beschreibt, dass KnowledgeDeliver-Installationen, die vor dem 24. Februar 2026 ausgerollt wurden, auf einer vom Hersteller bereitgestellten standardisierten web.config-Datei basierten. Diese Konfigurationsdatei enthielt hardcodierte machineKey-Werte, die das ASP.NET-Framework zum Verschlüsseln und Signieren von Daten — einschließlich ViewState-Payloads — nutzt. Da diese Schlüssel über alle Kundendeployments hinweg identisch waren, konnten Angreifer sie für gezielte Angriffe missbrauchen.
Im konkreten Fall, den Mandiant untersuchte, schleusten die Täter zunächst einen bösartigen Code in die Webplattform ein. Dieser Code brachte Nutzer dazu, einen gefälschten Installer herunterzuladen, was zur Infektion der betroffenen Maschine mit einem Cobalt Strike Beacon führte — und damit zur Installation einer Hintertür. Mandiant weist darauf hin, dass der Payload mit einem Schlüssel verschlüsselt war, der den Namen der kompromittierten Organisation enthielt, was darauf hindeutet, dass die Angreifer diesen Payload gezielt für das jeweilige Ziel vorbereitet hatten.
Darüber hinaus setzten die Angreifer die .NET-basierte In-Memory-Web-Shell Godzilla (auch bekannt als BlueBeam) ein. Anschließend führten sie Befehle aus, um ihre Kontrolle über das Dateisystem des Webservers auszuweiten, und modifizierten eine JavaScript-Datei der Anwendung. Diese forderte Nutzer auf, ein „Sicherheits-Authentifizierungs-Plugin" zu installieren, und lud ein bösartiges Skript von einer durch die Angreifer kontrollierten Domain.
Godzilla ist kein unbekanntes Werkzeug in diesem Kontext: Microsoft hatte die Web Shell bereits Ende 2024 in ähnlichen Angriffen beobachtet. Im August 2024 hatten Forscher des Sicherheitsunternehmens ASEC zudem gemeldet, dass Godzilla in ASP.NET-Umgebungen bei ViewState-Deserialisierungsangriffen gegen Unternehmen im Finanzsektor eingesetzt wurde.
Das Muster unsicher verwalteter Machine Keys bei ViewState-Angriffen ist nicht neu. Im März des vergangenen Jahres missbrauchten Angreifer einen hardcodierten Machine Key, um sich Zugang zu Gladinet CentreStack-Servern für sicheres File-Sharing zu verschaffen. Im Juli 2025 kompromittierten Hacker 85 Microsoft-SharePoint-Server, nachdem sie den Machine Key entwendet hatten, um signierte bösartige ViewState-Payloads zu erstellen. Staatlich unterstützte Akteure nutzten ViewState-Deserialisierungsangriffe außerdem, um ein Aufklärungswerkzeug namens WeepSteel auf Sitecore-Servern zu platzieren, die den ASP.NET-Machine-Key preisgaben.
