Die Analyse stammt vom russischen Cybersicherheitsunternehmen Kaspersky, dessen Forscher die jüngsten Aktivitäten der Angreifer zurückverfolgten. „Indem wir die jüngsten Aktivitäten der Bedrohungsakteure verfolgt haben, deckten wir bislang unentdeckte Angriffe auf, die vor fast zwei Jahren begannen – das deutet auf eine etablierte Gruppe hin, deren Operationen sorgfältig verschleiert wurden", erklärte Kaspersky.
Charakteristisch für die Kampagne sind die langen Ruhephasen: Den Angaben zufolge blieb die Gruppe teils drei bis vier Monate inaktiv, um dann in einem einzelnen Monat bis zu zehn Angriffe zu starten. Welche Aktivitäten nach einer erfolgreichen Kompromittierung folgten, beschrieb das Unternehmen nicht.
Den Schwerpunkt bildeten Bildungseinrichtungen. Mehr als die Hälfte der im vergangenen Jahr beobachteten Angriffe zielte auf Seefahrtsuniversitäten und Schulen, die Personal für Schifffahrt, Binnenschifffahrt und Fischerei ausbilden. Daneben gerieten Organisationen aus dem Energiesektor, diplomatische Vertretungen, Regierungsbehörden und Finanzinstitute ins Visier. Zur Gesamtzahl der betroffenen Organisationen machte Kaspersky keine Angaben.
Die jüngste Welle von Kompromittierungen begann im Januar und stützte sich auf ein neu veröffentlichtes Penetrationstest-Framework namens Ravage. Das Werkzeug wurde im September 2025 auf GitHub veröffentlicht und erlaubt es, Dateien hoch- und herunterzuladen, zu kopieren und zu löschen, Befehle auszuführen, Prozesse zu starten und Bildschirmfotos kompromittierter Systeme anzufertigen.
Der Einstieg erfolgte über Phishing-E-Mails mit ZIP-Archiven. Darin befand sich eine Schaddatei, die als legitime Microsoft-Excel-Konfigurationsdatei getarnt war. Beim Öffnen startete sie Excel und löste die Ausführung des Schadcodes aus.
Kaspersky ordnete die Kampagne keiner bekannten Gruppe zu und äußerte sich weder zu einem möglichen Motiv noch zu einem Herkunftsland.
