Mandiant beschreibt zwei getrennte Phasen unbefugter Aktivitäten. Die erste fiel in den Zeitraum zwischen Ende 2025 und Januar 2026, die zweite in den März 2026. Ob beide Ereignisse zusammenhängen und auf denselben Akteur zurückgehen, ist laut den Forschern derzeit unklar.

In der ersten Welle kam es bei dem betroffenen Unternehmen demnach zu unautorisierten Peering-Verbindungen. Diese nutzten wahrscheinlich eine von zwei Authentifizierungs-Bypass-Schwachstellen in Cisco-Catalyst-SD-WAN-Controllern aus: CVE-2026-20127 oder CVE-2026-20182. Mandiant betont, dass beide Lücken zu diesem Zeitpunkt noch nicht offengelegte Zero-Days waren.

Im März 2026 folgte laut Bericht eine zweite Welle bösartiger Peering-Verbindungen gegen ein Gerät mit einer neueren Softwareversion, die bereits gegen CVE-2026-20127 abgesichert war. Cisco bestätigte später, dass diese Verbindungen nicht auf CVE-2026-20182 beruhten. Damit steht die Möglichkeit im Raum, dass der Angreifer – unabhängig davon, ob er bereits hinter den früheren unautorisierten Peering-Verbindungen stand – gestohlene Zertifikate aus einer vorherigen Kompromittierung desselben Geräts für den Erstzugang verwendete.

Anschließend änderte der Angreifer nach Mandiants Angaben die Standard-Anmeldedaten des Administrators und nutzte CVE-2026-20245 als Zero-Day über den Upload einer schädlichen CSV-Datei mit dem Namen „evil_tenant.csv“ aus. Dadurch gelang die Rechteausweitung bis auf Root-Ebene. Zudem legte der Angreifer ein manipuliertes Benutzerkonto namens „troot“ an, das vollständige Shell-Kontrolle auf Root-Niveau erhielt.

Die Forscher Chester Sng, Pete Boonyakarn und Logeswaran Nadarajan schreiben, der Angreifer habe während des gesamten Einbruchs konsequent Anti-Forensik-Techniken eingesetzt, um die operative Sicherheit aufrechtzuerhalten und eine Entdeckung zu vermeiden. Dazu gehörten das Löschen selbst angelegter Dateien, das Rückgängigmachen von Konfigurationsänderungen sowie Skripte, die sicherstellen sollten, dass keine verwertbaren Spuren zurückblieben.

Austin Larsen, leitender Bedrohungsanalyst bei der Google Threat Intelligence Group, ergänzte, der Akteur habe nach der Änderung des Standard-Admin-Passworts und der Exfiltration der SD-WAN-Fabric-Konfiguration das Passwort wieder auf den ursprünglichen Wert zurückgesetzt, damit einem Administrator bei der Anmeldung nichts auffällt. Danach habe der Angreifer den Root-Zugriff über den schädlichen CSV-Upload erlangt, das versteckte Konto „troot“ in /etc/passwd und /etc/shadow angelegt, anschließend jede berührte Datei gelöscht und ein Prüfskript ausgeführt, um zu bestätigen, dass seine Indikatoren verschwunden waren.

Google wertet den Fall als weiteres Beispiel für den anhaltenden Trend, dass Angreifer Zero-Days in Edge-Geräten wie SD-WAN-Systemen schnell bewaffnen. Solche Systeme lieferten oft nicht die Telemetrie, die für eine tiefgehende forensische Analyse nötig sei. Zudem könne ein Zugriff auf diese Geräte eine dauerhafte Einsicht in den internen Datenverkehr innerhalb der Fabric ermöglichen. Charles Carmakal, Technikchef von Mandiant Consulting, erklärte auf LinkedIn, fortgeschrittene Angreifer konzentrierten sich weiterhin vor allem auf Netzwerkgeräte und andere Systeme, die EDR-Lösungen nicht nativ unterstützen.