MalBeacon, ein auf Cyber-Täuschung spezialisiertes Unternehmen für Bedrohungsanalyse, beobachtete den Angriff zwischen dem 3. und 16. Februar in einer Nachbildung der Umgebung einer gemeinnützigen US-Organisation. Die simulierte Umgebung umfasste mehr als 3.000 Endpunkte und über 2.500 Nutzer.

Nach dem ersten Zugriff arbeiteten die Operatoren von Velvet Tempest direkt an der Tastatur: Sie führten Erkundungen im Active Directory durch, betrieben Host-Discovery und profilierten die Umgebung. Über ein PowerShell-Skript griffen sie zudem auf in Chrome gespeicherte Zugangsdaten zu. Dieses Skript lag auf einer IP-Adresse, die die Forscher mit der Bereitstellung von Werkzeugen für Termite-Ransomware-Angriffe in Verbindung brachten.

Den Erstzugang verschaffte sich die Gruppe nach Angaben der Forscher über eine Malvertising-Kampagne, die in eine Mischung aus ClickFix und CAPTCHA mündete. Die Opfer wurden angewiesen, einen verschleierten Befehl in den Windows-Ausführen-Dialog einzufügen. Der eingefügte Befehl löste verschachtelte cmd.exe-Ketten aus und nutzte finger.exe, um die ersten Malware-Loader nachzuladen. Eine der Nutzlasten war eine als PDF-Datei getarnte Archivdatei.

In den folgenden Phasen setzte Velvet Tempest PowerShell ein, um weitere Nutzlasten herunterzuladen und auszuführen, .NET-Komponenten über csc.exe in temporären Verzeichnissen zu kompilieren und Python-basierte Komponenten zur Persistenz unter C:\ProgramData abzulegen. Schließlich brachte die Operation DonutLoader in Stellung und holte den CastleRAT-Backdoor nach – einen Remote-Access-Trojaner, der mit dem Loader CastleLoader verknüpft ist. CastleLoader ist dafür bekannt, mehrere RAT- und Infostealer-Familien zu verbreiten, darunter LummaStealer.

Termite-Ransomware forderte in der Vergangenheit prominente Opfer wie den SaaS-Anbieter Blue Yonder und den australischen Reproduktionsmediziner Genea. Obwohl Velvet Tempest typischerweise mit Angriffen nach dem Prinzip der doppelten Erpressung in Verbindung gebracht wird, bei denen Systeme nach dem Diebstahl von Unternehmensdaten verschlüsselt werden, hält der Bericht von MalBeacon fest, dass die Gruppe bei dem beobachteten Vorfall keine Termite-Ransomware ausrollte.

Die ClickFix-Methode wird inzwischen von mehreren Ransomware-Akteuren genutzt. So berichtete Sekoia im April 2025, dass die Interlock-Ransomware-Gruppe dieselbe Social-Engineering-Technik einsetzte, um in Unternehmensnetzwerke einzudringen.