Die von Trellix analysierte Schadsoftware ist modular aufgebaut: Sie trennt die Überwachungsfunktionen von den eigentlichen Payloads, die für das Mining, die Rechteausweitung und die Persistenz zuständig sind. Die zentrale Binärdatei fungiert als “selbstständiger Träger” für sämtliche Schadkomponenten und wechselt je nach Kommandozeilenargument zwischen den Rollen Installer, Watchdog, Payload-Manager und Cleaner. Wird ein Prozess beendet, sorgt die Software dafür, dass sie erneut aktiv wird.
Eingebaut ist zudem eine Logikbombe, die die lokale Systemzeit ausliest und mit einem fest hinterlegten Zeitstempel vergleicht. Die feste Frist 23. Dezember 2025 deutet laut Trellix darauf hin, dass die Kampagne unbegrenzt auf befallenen Systemen laufen sollte. Das Datum signalisiere vermutlich entweder das Auslaufen gemieteter Command-and-Control-Infrastruktur (C2), eine erwartete Verschiebung am Kryptomarkt oder den geplanten Umstieg auf eine neue Schadsoftware-Variante.
Im Standardablauf schreibt die Binärdatei verschiedene Komponenten auf die Festplatte, darunter eine legitime ausführbare Datei eines Windows-Telemetriedienstes, über die per Sideloading die Miner-DLL geladen wird. Weitere abgelegte Dateien sichern die Persistenz, beenden Sicherheitswerkzeuge und führen den Miner mit erhöhten Rechten aus. Dazu wird der legitime, aber fehlerhafte Treiber “WinRing0x64.sys” im Rahmen der Technik Bring Your Own Vulnerable Driver (BYOVD) eingesetzt. Der Treiber ist für die Schwachstelle CVE-2020-14979 (CVSS-Wert 7,8) anfällig, die eine Rechteausweitung erlaubt.
Durch die Einbindung dieses Exploits erhält der XMRig-Miner tiefergehende Kontrolle über die Low-Level-Konfiguration der CPU und steigert die Mining-Leistung – konkret die RandomX-Hashrate – um 15 bis 50 Prozent. Ein besonderes Merkmal dieser XMRig-Variante ist laut Trellix ihre aggressive Verbreitung: Sie ist nicht allein auf den Download durch den Nutzer angewiesen, sondern versucht aktiv, sich über Wechseldatenträger auf weitere Systeme auszubreiten – und wird damit vom einfachen Trojaner zum Wurm. Die Mining-Aktivität fand den Beobachtungen zufolge zunächst sporadisch im November 2025 statt und stieg am 8. Dezember 2025 deutlich an.
Parallel meldete Darktrace ein Schadsoftware-Artefakt, das vermutlich mithilfe eines großen Sprachmodells (LLM) erzeugt wurde und die Schwachstelle React2Shell (CVE-2025-55182, CVSS-Wert 10,0) ausnutzt. Dabei wird ein Python-Toolkit heruntergeladen, das über einen Shell-Befehl einen XMRig-Miner nachlädt. Laut den Forschern Nathaniel Bill und Nathaniel Jones reichte eine einzige Prompting-Sitzung mit einem Modell aus, um ein funktionierendes Exploit-Framework zu erzeugen und mehr als neunzig Hosts zu kompromittieren – die erbeutete Summe sei zwar gering, doch zeige der Fall, wie sehr KI Cyberkriminalität zugänglicher mache.
Nach Angaben von WhoisXML API setzen Angreifer zudem ein als ILOVEPOOP bezeichnetes Toolkit ein, um nach Systemen zu suchen, die weiterhin für React2Shell anfällig sind – vermutlich zur Vorbereitung künftiger Angriffe. Die Scan-Aktivität richtete sich besonders gegen Organisationen aus den Bereichen Regierung, Verteidigung, Finanzen und Industrie in den USA. Alex Ronquillo, Vice President of Product bei WhoisXML API, verwies auf eine auffällige Diskrepanz: Der Code zeuge von Expertenwissen über die Interna von React Server Components und nutze Techniken, die in keinem anderen dokumentierten React2Shell-Kit vorkämen. Die Anwender hingegen hätten beim Kontakt mit den Honeypot-Systemen grundlegende Fehler gemacht, die ein versierter Angreifer normalerweise vermeide. Das deute auf eine Arbeitsteilung hin – möglicherweise auf zwei verschiedene Gruppen: eine, die das Werkzeug entwickelt, und eine andere, die es einsetzt. Dieses Muster sei aus staatlich gestützten Operationen bekannt, in denen ein fähiges Team die Werkzeuge baut und sie dann an Operateure für breit angelegte Scan-Kampagnen übergibt.
