Nach Angaben von Unit 42 ist Operation FlutterBridge Teil eines größeren Geflechts von Kampagnen, die der Gruppe CL-CRI-1089 zugeschrieben werden. Dazu zählen auch Recipe Lister und Calendaromatic. Beide ordnen die Forscher der übergeordneten Serie TamperedChef, auch EvilAI genannt, zu. Gemeinsam ist diesen Aktivitäten der Einsatz trojanisierter Produktivsoftware, um potenziell unerwünschte Programme und Adware zu verteilen.
Die Verbreitung läuft über manipulierte Google- und YouTube-Anzeigen. Als Köder dienen vermeintlich legitime Desktop-Anwendungen. Laut Unit 42 kamen dafür unter anderem die Firmen AdsParkPro LTD, Advantage Web Marketing LLC und SOFT WE ART LIMITED zum Einsatz, die inzwischen als PACIFIC TRADE SOLUTIONS LTD firmiert. Zwar seien die zugehörigen Google-Ads-Konten derzeit nicht mehr über das Google Ads Transparency Center erreichbar, doch Einträge bei YouControl und im britischen Companies House verknüpfen diese Firmen den Forschern zufolge mit ukrainischen Personen.
Die aktuelle Ausbaustufe der Kampagne setzt auf FlutterShell. Die Malware unterstützt die Ausführung beliebiger Befehle, den Zugriff auf das Dateisystem und das Ausschleusen von Umgebungsvariablen. Entdeckt wurden entsprechende Aktivitäten noch im März 2026. Bei der Ausführung verändert die Schadsoftware laut den Forschern Ido Asher, Noa Dekel und Tom Fakterman Konfigurationsdateien von Google Chrome, um den Browser zu kapern und den gesamten Datenverkehr über eine von den Angreifern kontrollierte, mit Werbung gefüllte Zwischenseite umzuleiten.
Auffällig ist dabei auch der Weg an Apples Schutzmechanismen vorbei. Nach Angaben von Unit 42 waren alle beobachteten Proben mit gültigen Apple-Developer-IDs signiert und bestanden erfolgreich die Notarisierung. Apples automatisierte Sicherheitsprüfungen stuften sie zum Zeitpunkt der Einreichung also nicht als bösartig ein.
Technisch hebt sich FlutterShell durch eine auf WebView basierende Architektur ab, die eine Brücke zwischen JavaScript und nativen Funktionen nutzt. Dadurch kann die schädliche Logik auf einer externen Website liegen, statt direkt in der Binärdatei eingebettet zu sein. Das erlaubt es den Angreifern, das Verhalten der Malware in Echtzeit zu verändern, ohne die Schadsoftware neu zu kompilieren oder eine aktualisierte Version auf bereits kompromittierte Systeme zu verteilen. Unit 42 beschreibt diese Architektur als eingebettete Browser-Komponente innerhalb einer nativen Anwendung, deren Kommunikationsbrücke Datenaustausch und gegenseitige Funktionsaufrufe ermöglicht.
Bislang haben die Forscher drei Varianten identifiziert: PodcastsLounge, PDF-Brain und PDF-Ninja. Zusammen mit unvollständigen Funktionen in der auf der Infrastruktur der Angreifer gehosteten JavaScript-Logik deutet das laut Unit 42 darauf hin, dass FlutterShell noch aktiv weiterentwickelt wird. PDF-Brain und PDF-Ninja verfügen zudem über eine KI-gestützte Zusammenfassungsfunktion, bei der Dokumente zunächst über einen von den Angreifern kontrollierten Server geleitet und erst danach verarbeitet werden. Darüber hinaus unterstützt die Malware System-Fingerprinting und den Diebstahl von Browser-Sitzungsdaten.
Unit 42 sieht außerdem technische Parallelen zwischen FlutterShell, Calendaromatic und Recipe Lister. Besonders deutlich sei die gemeinsame WebView-Architektur, die dynamische Änderungen an der Schadfunktion erleichtert. Hinzu kommt, dass Advantage Web Marketing LLC nicht nur bei der Verbreitung bösartiger Anzeigen beobachtet wurde, sondern auch als Unterzeichner von Windows-Adware-Varianten aus demselben Cluster. Für Unit 42 markiert der Schritt von JSCoreRunner zu FlutterShell eine deutliche technische Weiterentwicklung der Angreifer hinter CL-CRI-1089.