Den Ausgangspunkt bildet die Suche nach vertrauenswürdigen Systemwerkzeugen und Hardware-Monitoring-Software über Suchmaschinen. Dort tauchen schädliche Seiten auf, die mittels SEO-Poisoning nach oben manipuliert wurden. In neueren, im April 2026 beobachteten Varianten gelangen Nutzer jedoch nicht über Suchergebnisse auf diese Seiten, sondern über die Interaktion mit auf großen Sprachmodellen (LLM) basierenden Werkzeugen.
„In diesen Fällen erhielten Nutzer, die KI-Chatbots nach Software-Empfehlungen fragten, in den generierten Antworten Links zu von Angreifern kontrollierten Domains", so Microsoft. Das Verhalten beruhe auf beobachteten Mustern und korrelierten Datenquellen und passe zu aufkommenden Techniken der Vergiftung von KI-Suchergebnissen – einer Erweiterung des klassischen SEO-Poisonings über herkömmliche Suchmaschinen hinaus.
Jede dieser Seiten enthält einen auffälligen Download-Button, der ein ZIP-Archiv von einer kampagnenspezifischen Subdomain von gleeze[.]com abruft. Die Infrastruktur ist mit Dynu verbunden, einem dynamischen DNS-Anbieter, der häufig von Angreifern genutzt wird. Insgesamt wurden mehr als 150 schädliche Domains identifiziert, die die manipulierten Werkzeuge ausliefern.
Das ZIP-Archiv enthält eine legitime ausführbare Datei sowie eine bösartige DLL namens „autorun.dll", die beim Start des Programms per DLL-Sideloading geladen wird. Sie installiert über „msiexec.exe" eine zweite Schad-DLL namens „vcredist_x64.dll" – ein verpacktes Installationsprogramm für ScreenConnect. Nach der Installation versucht der ScreenConnect-Client fortlaufend, Kontakt zu einem Angreifer-Server unter „193.42.11[.]108" aufzunehmen. Über die ScreenConnect-Sitzung wird anschließend eine ausführbare Datei namens „SimpleRunPE.exe" eingeschleust.
Diese sorgt für Persistenz über Registry-Run-Schlüssel und geplante Aufgaben, konfiguriert Ausnahmen in Microsoft Defender, führt Anti-Analyse-Prüfungen durch und startet den Mining-Code mittels Process Hollowing unter einer vertrauenswürdigen, von Microsoft signierten Binärdatei. In ausgewählten Fällen wird statt der Dateiübertragung von ScreenConnect ein PowerShell-Skript verwendet, das die Binärdatei von einem entfernten Laufwerk holt, sie zur Tarnung lokal als „vlc.exe" ablegt, eine geplante Aufgabe zum Start anlegt und sich anschließend selbst löscht.
Die ausgehöhlte Binärdatei kommuniziert mit dem Server der Angreifer, übermittelt umfangreiche Host-Informationen, lädt zur Laufzeit das passende Miner-Archiv herunter und führt es aus. Unterstützt werden drei Miner-Programme: gminer, lolMiner und SRBMiner-MULTI. Zudem stellt die Datei die Persistenz-Artefakte wieder her und rekonfiguriert entfernte Defender-Ausnahmen. Sie überwacht laufende Prozesse und beendet den Miner sofort, sobald bestimmte Prozesse erkannt werden.
Die Veröffentlichung erfolgt wenige Tage, nachdem Microsoft beschrieben hatte, wie ein unbekannter Akteur eine internetseitige F5-BIG-IP-Firewall kompromittierte und über vertrauenswürdige Beziehungen auf einen internen Linux-Host wechselte. Von dort führte der Angreifer Aufklärung durch und bewegte sich seitlich zu einem verwundbaren Atlassian-Confluence-Server; Versuche, über ungepatchte Sicherheitslücken Code auszuführen, scheiterten jedoch. Stattdessen richtete der Akteur laut Microsoft mit Pythons ftplib-Modul einen FTP-Server ein, übertrug ein eigenes Scan-Werkzeug und erlangte Zugangsdaten für die anschließende Authentifizierung gegen Windows-Infrastruktur – gefolgt von Kerberos-Relay-Angriffen und der Ausnutzung von CVE-2025-33073.
