Im Kern der Angriffe steht die Ausnutzung von CVE-2026-33017 in Langflow. Die Schwachstelle erlaubt nicht authentifizierte Remotecodeausführung und wird laut Trend Micro dazu verwendet, ein von den Angreifern bereitgestelltes Python-Skript auszuführen. Dieses startet wiederum ein extern gehostetes Shell-Skript, das als Dropper fungiert. Seine erste Aufgabe besteht darin zu prüfen, ob auf dem kompromittierten System bereits eine Binärdatei mit dem Namen „lambsys“ läuft.

Falls dies nicht der Fall ist, lädt das Skript die Datei per curl oder wget nach, startet sie als entkoppelten Prozess und versucht anschließend, sich auf jedes per SSH erreichbare System zu verbreiten, bei dem sich das Opfer authentifizieren kann. Trend Micro beschreibt „lambsys“ als in Go geschriebene ELF-Datei. Die Binärdatei ist darauf ausgelegt, AppArmor, Ubuntus Uncomplicated Firewall, iptables, SELinux, den Kernel-NMI-Watchdog und den Aliyun-Agenten von Alibaba Cloud zu deaktivieren.

Darüber hinaus entfernt die Malware Systemprotokolle, um Spuren zu verwischen. Sie hebt außerdem das unveränderliche Attribut bei Dateien und Verzeichnissen wie „/.ssh/“, „/.ssh/authorized_keys“, „/etc/crontab“, „/etc/ld.so.preload“, „/tmp/“, „/var/tmp/“ und „/var/spool/cron“ auf, um Änderungen vornehmen zu können. Anschließend setzt sie das Attribut für „/tmp/“ und „/var/tmp/“ erneut. Laut Trend Micro zeigt dieses Verhalten, dass die Betreiber die Persistenzmethoden konkurrierender Kryptojacking-Gruppen kennen.

Die Schadsoftware beendet gezielt konkurrierende Kryptominer-Prozesse, die den Gruppen Kinsing, WatchDog, Rocke und Outlaw zugeordnet werden, und löscht Wallet- sowie Schlüsselmaterial anderer Akteure. Zudem richtet sie Persistenz über Cron ein, meldet sich bei einem externen Server unter „83.142.209[.]214:80“ und installiert einen angepassten Miner. Im letzten Schritt ruft die Binärdatei vom selben Server ein TAR-Archiv ab und entpackt daraus einen speziell angepassten XMRig-Miner. Sobald dieser läuft, wird das Archiv wieder vom Dateisystem gelöscht.

Zusätzlich sendet die Malware eine Anfrage an ipinfo[.]io, um die öffentliche IP-Adresse und den Standort des Systems zu ermitteln. Trend Micro zufolge dient das zum einen der Auswahl eines möglichst nahegelegenen Mining-Pools, um Latenzen zu verringern und die Hash-Rate zu verbessern. Zum anderen erlaubt es den Angreifern Geo-Fencing, also den Ausschluss von Opfern in bestimmten Regionen.

Technisch auffällig ist laut den Forschern auch die Ausführung der Angriffslogik. „Lambsys“ setze diese nicht als Go-Funktionen um, sondern starte eine Kaskade kurzlebiger „sh -c“-Unterprozesse, von denen jeder genau einen Shell-Befehl ausführt. Trend Micro zitiert als Beispiel 51 einzelne „pkill“-Aufrufe; fällt einer davon aus, bleiben die übrigen davon unberührt. Das Design opfere Tarnung zugunsten von Zuverlässigkeit.

Trend Micro fand außerdem ein Artefakt einer früheren Version derselben Binärdatei, das im Mai 2024 kompiliert wurde. Das deutet nach Einschätzung des Unternehmens darauf hin, dass die hinter der Kampagne stehenden Akteure die Malware-Familie wahrscheinlich seit mehr als zwei Jahren weiterentwickeln und dabei Maßnahmen zur Umgehung von Antiviren-Erkennung ergreifen. Bereits im Juni 2025 war mit CVE-2025-3248 eine weitere kritische Langflow-Schwachstelle mit einem CVSS-Wert von 9,8 aktiv missbraucht worden, damals zur Verbreitung der Botnetz-Malware Flodrix.