Die erste bösartige Aktivität wurde laut Bericht am 10. Oktober 2025 sichtbar. Zu diesem Zeitpunkt liefen auf dem betroffenen Windows-System bereits zwei Binärdateien mit SYSTEM-Rechten, also der höchsten Privilegienstufe unter Windows. Eine tarnte sich als Adobe-Updater, die andere als OneDrive. Als die Verteidiger den Vorfall bemerkten, hatten die Eindringlinge das System bereits vollständig unter Kontrolle; wie der erste Zugriff erfolgte, ist weiter unbekannt.

Symantec bestätigte allerdings, dass die ersten Anzeichen wahrscheinlich aus einer lateralen Bewegung von einem zuvor kompromittierten Gerät stammten. Die eigentliche Operation begann am 12. November. Die Angreifer beschafften sich ein Dropbox-API-Token, luden mit curl Daten hoch und installierten ihr Hauptwerkzeug: einen Mailbox-Dieb auf Basis von Aspose, einer legitimen .NET-Bibliothek zum Lesen von Outlook-OST- und PST-Dateien. In eine ausführbare Datei verpackt, wandelte das Werkzeug das Postfach in eine PST-Datei um und schrieb diese auf die Festplatte. Bei jedem Aufruf wurde es mit einem Passwort und einem Parameter für den Datumsbereich gestartet.

Beim ersten Lauf wurden laut Symantec alle Inhalte ab August 2025 erfasst. Danach kehrten die Angreifer alle zwei bis vier Wochen zurück und zogen jeweils nur die Tage seit dem vorherigen Durchlauf ab. Bis zum 17. Februar 2026 beobachteten die Forscher acht weitere Abzüge. So entstand nahezu eine fortlaufende Kopie des Postfachs, in kleine Abschnitte zerlegt, um weniger Aufmerksamkeit von Sicherheitssoftware zu erzeugen.

Für ihre Tarnung gaben sich geplante Aufgaben als Systemdienste von Adobe, Lenovo und OneDrive aus. Für den Abfluss der Daten nutzten die Angreifer Dropbox und OneDrive Personal. Bei OneDrive griffen sie auf fest einprogrammierte Microsoft-IP-Adressen zurück, statt den Hostnamen onedrive.live.com zu verwenden. Dadurch fielen keine DNS-Abfragen an, die ein Perimeter-Werkzeug hätte erkennen oder blockieren können.

Im November testeten die Angreifer außerdem kurz den öffentlichen Dateihoster temp.sh, verwarfen ihn aber wieder. Die letzte beobachtete Aktivität datiert laut Bericht auf den 19. März 2026: eine neue Hintertür wurde vorbereitet, aber nie ausgeführt. Elias zufolge könnte das darauf hindeuten, dass die Angreifer kurz darauf den Zugriff verloren.

Die von Symantec veröffentlichten Indikatoren deuten auf ein breiteres Einbruchswerkzeugset hin, nicht nur auf einen Postfach-Grabber. Genannt werden FRPC zum Ausschleusen von Verkehr über Tunnel, Secretsdump zum Auslesen von Windows-Zugangsdaten, SharpDecryptPwd zum Wiederherstellen gespeicherter Anwendungskennwörter sowie ein Werkzeug zur Umgehung der Windows-Benutzerkontensteuerung. Der Bericht sagt jedoch nicht, wie diese Werkzeuge im konkreten Fall jeweils eingesetzt wurden; auch erlauben sie keine Zuordnung zu einer bestimmten Gruppe.

Die Zuschreibung bleibt damit offen. Laut Symantec erschwert die Mischung aus öffentlich verfügbaren Werkzeugen und Cloud-Diensten für Privatnutzer die Identifizierung eines bekannten Akteurs. Dass Daten über Dropbox und OneDrive ausgeschleust werden, um im normalen Verkehr unterzugehen, ist nach Darstellung von Microsoft eine bewusste Methode, Perimeter-Abwehr zu umgehen und die Zuschreibung zu erschweren.