Laut BlueVoyant war das bisherige Verbreitungsmodell von Lorem Ipsum nach Microsofts Vorgehen gegen Fox Tempest praktisch nicht mehr nutzbar. Der Sicherheitsanbieter schrieb in einem Bericht vom Dienstag, der Wegfall der Zertifikatsquelle habe das frühere Modell mit signierten Installern untragbar gemacht und die Betreiber dazu gezwungen, auf einen Auslieferungsweg ohne Code-Signierung auszuweichen.
Ursprünglich lockte die Kampagne Nutzer per SEO-Poisoning auf Download-Seiten, auf denen trojanisierte Microsoft-Teams-Installer bereitstanden. Diese Installer waren mit gültigen Microsoft-Trusted-Signing-Zertifikaten signiert. Wer sie ausführte, installierte unbemerkt einen mehrstufigen Shellcode-Loader samt Backdoor, der den Angreifern Zugriff auf die betroffenen Systeme verschaffte.
BlueVoyant beschreibt die Malware-Kette als ausgefeilt und mehrstufig. Zum Einsatz kamen demnach DLL-Sideloading, verschlüsselte Nutzlasten und eine Command-and-Control-Kommunikation, die die legitime indische Blogging-Plattform LetsDiskuss[.]com als Dead-Drop missbrauchte, um Adressen der C2-Server abzurufen. Außerdem vergebe die Malware eindeutige Kennungen, um einzelne Infektionen nachzuverfolgen und zu verwalten.
In der aktuellen Variante nutzt der Betreiber von Lorem Ipsum laut BlueVoyant mindestens fünf legitime, aber kompromittierte WordPress-Websites für ClickFix-Köder. Die betroffenen Seiten stammen aus mehreren Bereichen, darunter Architektur, Rechtsdienstleistungen und Bautechnologie. Besucher sehen dort über ein eingeschleustes iframe eine gefälschte Browser-Aktualisierung mit dem Hinweis, ihr Browser sei veraltet.
Wie bei anderen ClickFix-Maschen fordert das Pop-up die Nutzer auf, einen bereitgestellten PowerShell-Befehl in ihr Windows Terminal einzufügen. Der Befehl tarnt sich als Sicherheitsintelligenz-Update für Microsoft Edge. Wird er ausgeführt, lädt er die Lorem-Ipsum-Malware laut BlueVoyant unbemerkt im Hintergrund herunter und startet sie, während eine fingierte Erfolgsmeldung behauptet, der Browser sei erfolgreich aktualisiert worden.
BlueVoyant hatte Lorem Ipsum zunächst als rasch reifende Malware-Kampagne eines wohl fortgeschrittenen Initial-Access-Brokers mittlerer Größenordnung eingeordnet. Diese Einschätzung wurde inzwischen revidiert. Das Unternehmen ist nun nach eigenen Angaben stark davon überzeugt, dass die Kampagne mit Rapid Brigantine verknüpft ist, einer finanziell motivierten Gruppe, die auch unter den Bezeichnungen Vanilla Tempest, DEV-0832 und Vice Society bekannt ist. Nach Angaben von BlueVoyant ist die Gruppe seit mindestens Mitte 2022 aktiv und mit mehreren Ransomware-Familien verbunden, darunter Rhysida, BlackCat, Zeppelin und Quantum Locker.
Für die Verbindung zwischen Lorem Ipsum und Rapid Brigantine nennt BlueVoyant mehrere Indikatoren. Dazu zählt ein Microsoft-Bericht vom Oktober 2025 über eine Vanilla-Tempest-Kampagne mit SEO-Poisoning und Teams-Installern, die gemeinsame Nutzung von Forging Marauder beziehungsweise Fox Tempest zur Beschaffung von Malware-Signaturzertifikaten sowie ein DFIR-Bericht, in dem ein mit Lorem Ipsum verbundener Loader eine Backdoor auslieferte, die Rapid Brigantine zugeschrieben wird.
BlueVoyant wertet den Fall als Beispiel dafür, wie widerstandsfähig moderne Bedrohungsakteure auf Störmaßnahmen reagieren. Anstatt ihre Operationen nach Microsofts Schlag gegen den Signierdienst einzustellen, seien die Akteure auf ein neues Zustellmodell umgeschwenkt, das ihr Bedrohungsprofil sogar erhöht habe. Der Sicherheitsanbieter betont deshalb, Abwehrmaßnahmen müssten sich stärker auf Verhaltensmuster stützen als auf statische Indikatoren oder einzelne Zustellwege.