Die von Fortra beobachteten Angriffe beginnen typischerweise mit einer Phishing-Mail, die wie ein legitimes Geschäftsdokument wirkt, etwa eine Angebotsanfrage. Öffnet das Opfer den Anhang, startet eine stark verschleierte Batch-Datei eine mehrstufige Infektionskette. Am Ende wird Phantom Stealer in den legitimen Windows-Explorer-Prozess injiziert.

Laut Fortra ist genau diese fileless Ausführung ein zentraler Grund für die Gefährlichkeit der Kampagne. Die Malware läuft vollständig im Arbeitsspeicher und bleibt damit für signaturbasierte Erkennung weitgehend unsichtbar. Hinzu kommen weitere Techniken zur Erschwerung von Analyse und Erkennung, darunter verschleierte PowerShell-Befehle, getarnte API-Aufrufe, versteckte Unicode-Zeichen und Base64-kodierte Zeichenfolgen, mit denen Befehle, Dateinamen und andere Daten verschleiert werden.

Besonders auffällig ist nach Einschätzung von Aranzazu Mendez Casillas von Fortra der Aufbau des Droppers. Gegenüber Dark Reading erklärte die Forscherin, das Besondere sei dessen Zusammensetzung: nicht nur Base64, sondern „Base64 + XOR + donut“. Das zeige, dass sich die Angreifer nicht nur auf die Malware selbst konzentrieren, sondern vor allem auf den Dropper. Für Analysten werde dadurch in der Untersuchung nur schwer erkennbar, was tatsächlich geschieht.

Sobald Phantom Stealer in den Windows-Explorer-Prozess eingeschleust ist, erhält die Malware laut Fortra umfassenden Zugriff auf gespeicherte Passwörter und Zugangsdaten im Browser. Dazu kommen Sitzungscookies, Autofill-Daten, Passwortmanager, Software-as-a-Service-Werkzeuge und Online-Banking-Systeme. Der Schädling kann außerdem Bildschirmfotos des Desktops anfertigen und seine Persistenz über Neustarts hinweg aufrechterhalten.

Fortra warnt, dass bereits eine einzelne Phantom-Stealer-Sitzung auf einem Bank-Endpunkt Zugangsdaten für Überweisungssysteme, Kundendaten oder Administratorzugänge im Netzwerk abziehen kann. Weil Phantom Stealer als Malware-as-a-Service betrieben wird, könnten die abgeflossenen Protokolle nach Angaben des Unternehmens an mehrere Akteure verkauft oder direkt von ihnen genutzt werden. Zugleich werde die Malware von ihren Autoren aktiv gepflegt und aktualisiert.

Auch Group-IB verfolgt die Bedrohung. Die Forscher hatten Phantom Stealer bereits zuvor als Beispiel für Malware beschrieben, mit der Cyberkriminelle den Diebstahl von Zugangsdaten skalieren können. Zwischen November 2025 und Januar 2026 registrierte Group-IB eine anhaltende Phantom-Stealer-Kampagne gegen Logistik-, Fertigungs- und Technologieunternehmen in Europa.

Fortra wertet die Kampagne als weiteres Indiz dafür, dass Browser für Angreifer zum neuen Endpunkt geworden sind, wenn es um Zugangsdaten, Authentifizierungstoken und geschäftskritische Daten geht. Der Anbieter hat Indikatoren für eine Kompromittierung und weitere Telemetriedaten veröffentlicht, die Organisationen zum Schutz vor Phantom Stealer einsetzen können. Casillas rät zudem zu verhaltensbasierter AV- und EDR-Erkennung, um verdächtige Aktivitäten wie ungewöhnliche Befehlszeilen oder auffällige Umgebungs-Erstellungen zu erkennen.