Damit der Angriff funktioniert, beschafft sich der Täter laut Infoblox zunächst IPv6-Adressraum, für den ihm die Kontrolle über die zugehörige .arpa-Subdomain übertragen wird. Anstatt dort die erwarteten PTR-Einträge anzulegen, erstellt er A-Records für die Reverse-DNS-Namen. Auf diese Weise machte er sich eine Schwachstelle bei DNS-Anbietern zunutze, die es ihm erlaubte, den Besitz von .arpa-Domains zu beanspruchen.

Diese Einträge wurden über Cloudflare und Hurricane Electric angelegt, doch auch andere DNS-Anbieter erlauben laut Infoblox eine entsprechende Konfiguration. Um die Reverse-DNS-Domains zusätzlich schwerer auffindbar und blockierbar zu machen, stellte der Angreifer ihnen zufällig erzeugte Subdomains voran. So entstanden eindeutige vollständige Domainnamen (FQDNs), aus denen das HTML der Phishing-Mails aufgebaut wurde.

Die identifizierten Reverse-DNS-FQDNs lösten auf zwei IP-Adressen des Cloudflare-Edge-Netzwerks auf und verbargen damit den tatsächlichen Standort der Schadinhalte. Da .arpa-Domains in der Regel als vertrauenswürdig eingestuft und kaum auf Sperrlisten gesetzt werden, blieb die Verschleierung weitgehend unbemerkt.

Infoblox stellte außerdem fest, dass der Angreifer CNAME-Einträge bekannter Einrichtungen aus den Bereichen Bildung, Behörden, Medien, Handel und Telekommunikation kaperte und Subdomains ihrer legitimen Domains für die Phishing-Angriffe missbrauchte. In einigen Fällen beobachteten die Forscher zudem sogenanntes Domain Shadowing, bei dem eine vom Angreifer kontrollierte Subdomain – typischerweise durch gestohlene Zugangsdaten – angelegt wird. Die als Köder verwendeten Bilder stehen dabei in keinem Zusammenhang mit den gekaperten Domains, weshalb die Opfer sie kaum bemerken dürften.

Die gekaperten CNAME-Einträge wurden nach Angaben von Infoblox seit September 2025 durchgängig für Phishing genutzt, teils in mehr als 100 verschiedenen E-Mail-Wellen pro Tag. Einige der Domains werden bereits seit Jahren missbraucht, und das in dieser Kampagne eingesetzte Werkzeug wird seit 2017 von mehreren Angreifern verwendet.