SocGholish tritt typischerweise als gefälschtes Update für Browser wie Google Chrome oder Mozilla Firefox sowie für andere verbreitete Programme auf. Die Malware dient dabei als Einstieg für nachgelagerte Schadsoftware verschiedener Akteure, darunter Evil Corp, LockBit, RansomHub, Dridex und Raspberry Robin. Verfolgt werden die Betreiber unter mehreren Bezeichnungen, darunter Gold Prelude, Mustard Tempest, Purple Vallhund, TA569 und UNC1543.

Wie Silent Push in einer Analyse aus dem vergangenen Jahr erklärte, gehen SocGholish-Infektionen meist auf kompromittierte Websites zurück, die auf unterschiedliche Weise manipuliert wurden. Demnach kommen direkte Einschleusungen vor, bei denen JavaScript unmittelbar in eine infizierte Webseite eingebettet wird, ebenso wie Varianten mit einer zwischengeschalteten JavaScript-Datei, die den eigentlichen Schadcode nachlädt.

Arctic Wolf berichtete, dass SocGholish im November 2025 von den RomCom-Akteuren genutzt wurde, um Mythic Agent auszuliefern. Das unterstreicht laut dem Unternehmen, dass die Dienste dieses Initial-Access-Brokers von sehr unterschiedlichen Akteuren mit verschiedenen Motiven verwendet werden. Orange Cyberdefense beobachtete zudem, dass SocGholish Loader wie Gholoader und MintsLoader ausliefert, die wiederum weitere Nutzlasten wie GhostWeaver, LockBit, AsyncRAT und NetSupport RAT nachziehen können.

Nach Angaben der Shadowserver Foundation wurden viele der kompromittierten WordPress-Instanzen so verändert, dass sie kriminelle Infrastruktur von SocGholish einbinden. Der Großteil der gehackten Seiten befand sich demnach in den USA, gefolgt von Deutschland, Frankreich, Indien, Brasilien, Singapur, Italien, Indonesien, Kanada und Vietnam. Shadowserver wies außerdem auf den Missbrauch von „Domain Shadowing“ hin. Dabei verschaffen sich Angreifer Zugriff auf das Konto eines autoritativen DNS-Anbieters oder Registrars für eine legitime Domain und legen unauffällig zusätzliche Subdomains an, die auf externe, von Kriminellen betriebene Infrastruktur zeigen.

Proofpoint zufolge kompromittiert TA569 wahllos Websites und agiert opportunistisch, auch wenn Seiten mit hohem Besucheraufkommen mehr Opfer bringen. Betroffen seien praktisch alle Branchen, von Non-Profit-Organisationen und Schulen bis zu Gesundheitswesen, Krankenhäusern, Rechts- und Immobilienorganisationen. Infoblox beschreibt SocGholish als mehrstufiges JavaScript-Framework, das kompromittierte Websites in Auslieferungsplattformen für Drive-by-Downloads verwandelt. Die vier Kernschritte seien Traffic-Beschaffung, Traffic-Filterung, Köder für die Schadsoftware-Auslieferung und die Ausführung des Implantats auf dem Endgerät.

Nach Angaben von Infoblox kompromittiert TA569 selbst eine sehr große Zahl von Websites, nimmt aber auch Traffic von Partnern an. Zu den auffälligen Partnern, die im Lauf der Jahre Traffic an das SocGholish-Framework verkauft haben sollen, zählen TA2726, Parrot TDS und JunkyTDS. Zudem seien kommerzielle Angebote wie Keitaro und zTDS eingesetzt worden, um Besucher zu filtern und entweder an SocGholish weiterzuleiten oder bei nicht passenden Merkmalen auf die ursprüngliche Website oder andere Inhalte zu schicken.

Infoblox-Daten zeigen außerdem, dass rund 55 Prozent seiner Cloud-Kunden allein in diesem Jahr versucht hätten, SocGholish-Infrastruktur zu erreichen. In den vergangenen fünf Monaten hätten sich die Angriffe gegen fast jeden Wirtschaftssektor gerichtet, besonders gegen Behörden, Bildungseinrichtungen, Banken, das Gesundheitswesen, nichttechnische Dienstleistungen, Finanzdienstleister, IT-Beratung, Versorger, Versicherungen und den Transportsektor.