Viele Fragen zu der Kampagne sind laut Symantec und Carbon Black weiter offen. Unklar ist demnach insbesondere, wer hinter dem Angriff stand und wie der Erstzugang gelang. Fest steht aus Sicht der Forscher jedoch, dass sich der Angreifer unauffällig und systematisch in das Postfach des Finanzmanagers bewegte und dort monatelang E-Mails abzog.

Der dokumentierte Teil des Vorfalls begann laut Marc Elias vom Threat Hunter Team von Symantec und Carbon Black am 10. Oktober 2025. Die ersten beobachteten Aktivitäten auf dem Rechner deuteten seiner Einschätzung nach wahrscheinlich auf eine seitliche Bewegung von einem bereits zuvor kompromittierten Gerät hin. Zu diesem Zeitpunkt liefen auf dem System bereits zwei Implantate mit Systemrechten. Eines gab sich als Adobe-Software aus, das andere als OneDrive. Für die Persistenz registrierten die Angreifer das vermeintliche Adobe-Programm als geplante Aufgabe, die alle fünf Minuten ausgeführt wurde.

Einen Monat später, am 12. November 2025, richteten die Täter einen Kommando-und-Kontroll-Kanal über Dropbox ein. Die Datenabflüsse sollten dadurch wie legitimer Netzwerkverkehr wirken. Zusätzlich legten sie eine weitere geplante Aufgabe zum Ausführen von Batch-Dateien an, getarnt als gewöhnliche Lenovo-Systemzustandsprüfung. Laut Bericht deutet gerade diese Lenovo-Tarnung auf genaue Kenntnisse des Zielsystems hin. Danach installierten die Angreifer einen maßgeschneiderten Infostealer.

Dieser Infostealer basierte auf einer legitimen .NET-Bibliothek von Aspose. Das Unternehmen entwickelt Programmierschnittstellen, mit denen Entwickler Dateiformate erstellen, bearbeiten und konvertieren können. In diesem Fall nutzte der Angreifer das legitime Werkzeug, um die E-Mails des Opfers in lokale Dateien umzuwandeln und sie anschließend über Dropbox zu exfiltrieren.

Nach Angaben von Symantec und Carbon Black wurden zunächst sämtliche E-Mails des Opfers aus dem Zeitraum zwischen August und Mitte November 2025 entwendet. Danach kopierten die Täter den kompletten Posteingang des Ziels etwa alle zwei bis vier Wochen erneut — mindestens bis zum 17. Februar 2026. Zu diesem Zeitpunkt endete der Datenabfluss, aus nicht geklärten Gründen. Danach experimentierten die Angreifer offenbar noch etwa einen weiteren Monat auf dem System.

Elias sagt, nach dem letzten Exfiltrationsereignis hätten die Angreifer neue Hintertüren abgelegt. Dies sei die letzte Aktivität gewesen, die das Team am 19. März auf dem Rechner beobachtet habe. Die Forscher gehen davon aus, dass die Betreiber nach diesem Datum den Zugriff auf das Gerät verloren, weil danach keine weitere bösartige Aktivität mehr festgestellt wurde.

Trotz der aus Sicht der Forscher sorgfältigen und geduldigen Vorgehensweise halten Symantec und Carbon Black die Täter nicht für unaufhaltbar. Elias erklärt, die Organisation hätte die Exfiltration zu Cloud-Diensten mit einem Cloud Access Security Broker und einer Data-Loss-Prevention-Lösung erkennen und verhindern können. Zudem hätte sie den Angriff früher stoppen können, wenn Warnmeldungen ihrer Endpoint-Detection-and-Response-Software aktiv geprüft und bearbeitet worden wären.