Nach Angaben von Kaspersky ist Umbrij darauf ausgelegt, zunächst einen OAuth-Autorisierungscode zu beschaffen und diesen anschließend gegen ein Zugriffstoken auszutauschen. Mit diesem Token können die Angreifer dann über die Google API auf die anvisierten Ressourcen zugreifen. Den Ansatz bezeichnet der russische Cybersicherheitsanbieter als „Shadow Token über Fern-Debugging“, kurz STRD.
Technisch basiert der Angriff laut Bericht darauf, einen Chromium-basierten Browser im kopflosen Modus zu starten und über dessen Fern-Debugging-Port die Kontrolle zu übernehmen. Anschließend wird eine bereits angemeldete Gmail-Sitzung ausgenutzt, um Zugriff auf Ressourcen des Google-Kontos zu erhalten. Kaspersky hebt hervor, dass die Methode auf aktiven Gmail-Sitzungen aufsetzt und auf Chromium-basierten Browsern funktioniert.
Die Forscher entdeckten drei verschiedene Versionen von Umbrij. Darunter befinden sich Varianten mit Hilfsfunktionen für das Debugging sowie für die Suche und Auswahl von Benutzerkonten im Browser. Unabhängig von der genutzten Variante endet der Ablauf nach Kaspersky stets damit, dass eine bösartige Umbrij-DLL gestartet wird. Diese DLL ist in .NET geschrieben und mit ConfuserEx, einem quelloffenen Obfuskator, verschleiert.
Entdeckt wurde die Malware laut Kaspersky bei einer Threat-Hunting-Operation. Dabei kam eine geplante Aufgabe zum Einsatz, die sich als eigene Software des Herstellers ausgab und den Namen „KasperskyEndpointSecurityEDRAvp“ trug. Diese Aufgabe startete eine digital signierte Datei, die anschließend DLL-Sideloading nutzte, um Umbrij zu laden. Kaspersky zufolge wurden dafür legitime Binärdateien missbraucht, die für DLL-Sideloading anfällig sind.
Die Malware kann zudem mit Kommandozeilenparametern gestartet werden. Damit lässt sich festlegen, welche Browser angegriffen werden sollen — Google Chrome oder Microsoft Edge. Außerdem kann Umbrij angewiesen werden, einen Screenshot des Benutzerprofils als PDF-Datei zu speichern und den Systembenutzernamen zu übernehmen, unter dem das Werkzeug laufen soll.
Sobald Umbrij auf einem kompromittierten Windows-Rechner läuft, führt es laut Kaspersky mehrere vorbereitende Schritte aus, um in das Gmail-Konto einzudringen. Wie viele andere Werkzeuge im Arsenal von ToddyCat protokolliere Umbrij seine Aktionen detailliert und speichere sie in einer Datei, erklärte Kaspersky. Dort werde auch der erbeutete Autorisierungscode abgelegt, den der Operator anschließend vom kompromittierten System exfiltriere. Der erhaltene Code werde danach gegen ein OAuth-Zugriffstoken getauscht, mit dem die Angreifer über die API eine Verbindung zum Gmail-Konto herstellen.
ToddyCat wird von Kaspersky als Advanced Persistent Threat eingestuft, der seit mindestens 2020 verschiedene Organisationen in Europa und Asien ins Visier nimmt. Im November 2025 hatte Kaspersky die Gruppe bereits mit dem Einsatz des Spezialwerkzeugs TCSectorCopy in Verbindung gebracht, das auf Microsoft-Outlook-E-Mail-Daten zielte.
Zur Abwehr empfiehlt Kaspersky, die an Anwendungen vergebenen Autorisierungscodes unter „myaccount.google[.]com/connections“ zu überprüfen. Besonders genannt werden dort die Anwendungen „Google Workspace Migration for Microsoft Outlook“ und „Google Workspace Sync for Microsoft Outlook“. Falls eine dieser Anwendungen aufgeführt ist, aber in der Organisation nicht tatsächlich genutzt wird, sollte ihr Zugriff widerrufen werden, um die OAuth-Tokens ungültig zu machen.
