Nach Darstellung von Arctic Wolf wurde die Schadsoftware über die VPN-Skripting-Abläufe von FortiClient ausgeführt. Dabei kamen Befehlsskripte zum Einsatz, die PowerShell aufriefen – ein Vorgehen, das laut den Forschern auf Kenntnis der betroffenen Umgebung schließen lässt.
„Das beobachtete Ausführungsmuster deutet darauf hin, dass die Angreifer den eigenen Verwaltungsweg von FortiClient nutzten, um schädliche PowerShell-Befehle an verwaltete Endpunkte zu verteilen – und zwar so, dass es wie ein legitimer Verwaltungsvorgang aussah“, erklärt Arctic Wolf. Da EMS als zentrale Steuerungsinstanz fungiert, konnten die Angreifer über den Zugriff auf das System auf jedem angebundenen Endpunkt Code ausführen.
Die eingesetzte Schadsoftware zielt auf Chrome, Microsoft Edge, Firefox sowie weitere Browser auf Chromium- und Gecko-Basis ab. Abgegriffen werden Zugangsdaten, Cookies und Autofill-Daten; die gesammelten Informationen werden über HTTP ausgeleitet.
Nach Angaben von Arctic Wolf verfügt das Programm nicht über eine netzwerkbasierte Funktion zum Ausschleusen der Zugangsdaten. Stattdessen exportiert es die Anmeldedaten aus den unterstützten Browsern in eine Protokolldatei. Werde es ohne Argumente gestartet, gebe es Hinweise zur Verwendung über die Kommandozeile aus.
Organisationen wird geraten, die Patches von Fortinet für CVE-2026-35616 so schnell wie möglich einzuspielen. Die Schwachstelle wurde am 6. April in den Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) der US-Behörde CISA aufgenommen.
