Nach Angaben von Check Point laden die Seiten eine über CloudFront gehostete JavaScript-Staging-Schicht, die einen Klick auf einen Download-Button oder -Link an ein Traffic Distribution System übergibt. Dieses TDS setze mehrere Hürden durch: den Status eines Erstbesuchs, eine verpflichtende Klick-Bestätigung, Bot- und Analyseabwehr, Filter gegen VPN- und Rechenzentrumszugriffe sowie eine Begrenzung der Häufigkeit.
Check-Point-Forscher Alexey Bukhteyev beschreibt die Seiten als gut gestaltet und auf den ersten Blick häufig kaum von legitimen Projektportalen zu unterscheiden. Besonders auffällig sei, dass bereits das Überfahren des Download-Buttons mit dem Mauszeiger die legitime URL anzeigt, unter der das jeweilige Werkzeug tatsächlich heruntergeladen werden kann. Das verleihe den Seiten zusätzliche Glaubwürdigkeit.
Fullstory hatte eine frühe Iteration der Kampagne bereits dokumentiert und damals darauf hingewiesen, dass die Domains gezielt auf gute Platzierungen in Suchmaschinen optimiert wurden. Dazu würden Name, Marke und Popularität der Originalseiten und -projekte ausgenutzt. Viele der Seiten rangierten bei Google für passende Suchbegriffe unter den Spitzenplätzen und verdrängten oft sogar die echten Projektseiten.
Während Fullstory zu diesem Zeitpunkt noch keine Hinweise auf eine bösartige Nutzung der Domains fand und die Infrastruktur vor allem der Traffic-Generierung sowie der Werbung für Seiten Dritter zu dienen schien, zeigen die aktuellen Erkenntnisse von Check Point eine spätere Umnutzung. Demnach wurden die TDS-Skripte nicht lange danach eingebettet, und ab Januar 2026 diente die Infrastruktur der Malware-Verteilung.
Ein Klick auf „Download“ startet laut Check Point eine Weiterleitungskette über das TDS, an deren Ende Schadsoftware ausgeliefert wird. Die Ketten seien zudem so gebaut, dass wiederholte Zugriffsversuche von derselben IP-Adresse nur harmlose Software liefern, etwa den Browser Opera oder unnötige Browser-Erweiterungen. Diese Logik erschwere die Analyse zusätzlich.
Im Fokus der Untersuchung steht auch SessionGate. Eine Auswertung der VirusTotal-Telemetrie ergab laut Check Point bislang etwa 2.000 bis 3.500 Einsendungen von Proben, die mit dieser Familie in Verbindung stehen. Der Großteil dieser Einsendungen stammte aus der Türkei, Polen, Brasilien, Deutschland, Frankreich, Russland und dem Vereinigten Königreich.
Das Ziel der SessionGate-Infektionskette besteht laut Check Point darin, pro Opfer einen individuellen Payload nachzuladen, der erst nach vollständigem Durchlaufen des Weiterleitungspfads ausgeliefert wird. Die mehrstufige Lieferkette, kombiniert mit umfangreicher Prüf- und Filterlogik auf TDS-Seite, soll die Analyse erschweren und den Abruf des eigentlichen Payloads für Analysten aufwendig machen.
Die abschließende DLL kommuniziert nach Darstellung von Check Point mit einem externen Server, ruft dort eine verschlüsselte Konfiguration ab, extrahiert daraus die Download-URL und lädt anschließend die nächste Malware-Stufe herunter, die unauffällig über „cmd.exe“ ausgeführt wird.
Bukhteyev zufolge ahmen die Einstiegsseiten legitime Open-Source-Projektportale nach, behalten echte GitHub-Links bei, um schnelle Sichtprüfungen zu bestehen, und leiten dann den ersten Download-Klick per Klick-Abfanglogik in den abgeschotteten TDS-Stack um. Als plausibelstes Hauptziel nennt Check Point die Gewinnung und Monetarisierung von Traffic. Durch die Einbettung des TDS und die Umleitung von Suchmaschinen-Traffic würden die Betreiber jedoch Teil einer Verteilungskette, deren nachgelagerte Abnehmer auch Malware-Distributoren sein können.