Im Zentrum der Angriffstechnik steht laut Zscaler eine Kombination aus einer bösartigen Edge-Erweiterung und einer Python-basierten Hintertür. Native Messaging ist eigentlich dafür gedacht, dass Erweiterungen mit lokalen Programmen sprechen können, etwa wenn ein Passwortmanager Webformulare befüllt. Im Fall von Edgecution wird dieses Protokoll jedoch als Ausbruchspfad aus der Browser-Sandbox genutzt: Der Browser startet eine native Anwendung als separaten Prozess und tauscht mit ihr Daten über Standardein- und -ausgabe aus.
Die Kompromittierung beginnt nach Angaben der Forscher mit Social Engineering über Microsoft Teams. Der Angreifer tritt als IT-Support auf und verweist Mitarbeitende auf eine betrügerische Seite. In jüngsten Angriffen, die laut Zscaler Taktiken aufgriffen, die zuvor mit demselben Initial Access Broker verbunden waren, sahen Opfer eine gefälschte Microsoft-„Outlook Updates Management Console“. Dort wurden Schaltflächen für Update-Pakete oder eine Software-Verifizierung angezeigt.
Hinter diesen Schaltflächen verbargen sich jedoch verschiedene schädliche Aktionen. Sie luden Komponenten nach, kopierten Skripte in die Zwischenablage oder öffneten Formulare zur Eingabe von Microsoft-365- und Outlook-Passwörtern. Zscaler erklärt, dass diese Schaltflächen dem Bedrohungsakteur drei verschiedene Wege bieten, Edgecution bereitzustellen: über ein AutoHotKey-Skript, ein Windows-Batch-Skript und ein PowerShell-Skript.
Wenn das AutoHotKey-Skript oder der Inhalt aus der Zwischenablage ausgeführt wird, richten die Befehle laut Zscaler die Umgebung ein, korrigieren die Header einer verschlüsselten ZIP-Datei, entpacken relevante Dateien und legen eine geplante Aufgabe an, die Microsoft Edge startet. Die Schadkomponenten stammen von der gefälschten Microsoft-Update-Seite in Form eines ZIP-Archivs mit absichtlich fehlerhaften Headern, damit Sicherheitsprodukte es nicht als gültiges Archiv erkennen.
Der ZIP-Inhalt liefert den Forschern zufolge weitere Hinweise auf die Technik. Enthalten sind eine eingebettete Python-Version 3.13.3 sowie zwei Verzeichnisse namens „extension“ und „native“. Die erste Schadkomponente ist die bösartige Microsoft-Edge-Erweiterung, die sich als „Edge Monitoring Agent“ tarnt. Sie verbindet sich mit dem Command-and-Control-Endpunkt des Angreifers, empfängt Ausführungsanweisungen und sendet Ergebnisse an den Operator zurück.
Die Erweiterung läuft in einem kopflosen Edge-Browser und bleibt damit für den Nutzer unsichtbar. Weil sie dennoch an die Sandbox des Browsers gebunden ist, ergänzt der Angreifer sie um eine zweite Komponente: eine Python-basierte Hintertür als Ausführer auf Host-Ebene. Diese Hintertür empfängt Befehle, die von der bösartigen Erweiterung weitergereicht werden.
Die Skripte übernehmen dabei eine Schlüsselfunktion. Sie schaffen einen Weg, über den die Erweiterung die Python-Hintertür starten kann, indem sie im Verzeichnis „native“ eine Batch-Datei anlegen, die die Erweiterung aufrufen kann. Zusätzlich erzeugen sie das nötige Chrome-Native-Messaging-Manifest, das festlegt, wie der Browser eine Verbindung zur nativen Anwendung aufbaut.
In der technischen Analyse weist Zscaler außerdem darauf hin, dass beide Schadkomponenten über einige ungenutzte Befehle verfügen, die in künftigen Versionen aktiviert werden könnten. Die von Edgecution genutzte Methode veranschauliche die „zunehmende Raffinesse“ von Bedrohungsakteuren aus dem Umfeld von Ransomware-Operationen und ermögliche es ihnen, auf kompromittierten Hosts Persistenz aufzubauen. Der Bericht von Zscaler enthält zudem eine Liste von Kompromittierungsindikatoren, darunter Command-and-Control-Server sowie Hashes der bösartigen Erweiterung und der Python-Hintertür.