SOCRadar entdeckte das Verzeichnis nach eigenen Angaben am 11. Juni 2026 auf einem in den USA gemieteten Server unter 137.175.93[.]126, der ganz ohne Passwortschutz erreichbar war. Ctrl-Alt-Intel hatte denselben Ordner ebenfalls analysiert, nachdem er über die Open-Directory-Plattform Hunt.io gefunden worden war, und veröffentlichte seine Ergebnisse am 22. Juni, also Wochen vor SOCRadars eigener Analyse vom 9. Juli. Ursache der Offenlegung war laut Bericht ein einfacher Fehler: Der Betreiber startete einen simplen Python-Webserver zum Dateitransfer und ließ ihn 22 Tage lang laufen.

Im Zentrum der Kampagne standen öffentlich bekannte Schwachstellen in Website-Plugins, überwiegend im WordPress-Umfeld. Die Gruppe baute automatisierte Scanner, die diese Exploits gegen große Ziellisten aus FOFA einsetzten, einer chinesischen Suchmaschine für mit dem Internet verbundene Systeme. Lief auf einer Seite eine verwundbare Version, konnte der Exploit eine Webshell hochladen und so Fernzugriff auf den Server ermöglichen.

Das Werkzeugset deckte 27 bekannte Schwachstellen ab, doch nur wenige trugen den Hauptteil der Angriffe. Besonders ins Gewicht fiel laut den Funden eine Lücke im Breeze-Caching-Plugin, CVE-2026-3844. Diese Schwachstelle setzte die Gruppe demnach gegen mehr als 45.000 Ziele ein und hinterlegte nach eigener Zählung auf mehr als 17.000 davon eine Hintertür. Allerdings funktioniert der Angriff nur, wenn die nicht standardmäßige Einstellung „Host Files Locally – Gravatars“ aktiviert ist; die meisten Breeze-Installationen waren deshalb nicht angreifbar.

Die oft hervorgehobene Zahl von 1,4 Millionen bezieht sich ausdrücklich auf Ziellisten, nicht auf erfolgreiche Kompromittierungen. Diese Listen umfassten WordPress, Joomla und andere Plattformen. Die größte einzelne Datei war eine Liste mit 587.034 Joomla-Zielen. Wie groß der Abstand zwischen Zielmenge und tatsächlichem Erfolg war, zeigt laut Bericht auch eine Joomla-Lücke: Sie wurde gegen mehr als 560.000 Ziele eingesetzt, landete aber nur auf 77 Systemen.

Die beiden Forschungsteams kamen bei der Zahl kompromittierter Websites zu unterschiedlichen Ergebnissen. Ctrl-Alt-Intel zählte nach Dublettenbereinigung 25.195 Seiten mit bestätigten oder validierten Kompromittierungsspuren. SOCRadar setzte bei aktiven Webshells an und kam auf mehr als 5.700 noch live erreichbare Fälle.

Die zentrale Hintertür war eine Datei namens down.php. Sie war stark verschleiert, vier Ebenen tief obfuskiert und scheint von der quelloffenen chinesischen Webshell BestShell abgeleitet zu sein. Nach der Installation konnte sie Dateien verwalten, Befehle ausführen, Reverse Shells öffnen, das Netzwerk scannen und prüfen, welche Sicherheitssoftware auf dem kompromittierten Host lief.

Für den eigenen Fernzugriff nutzte die Gruppe laut SOCRadar einen SNOWLIGHT-Dropper, um VShell zu installieren. Diese Hintertür tarnt ihren Prozessnamen als [kworker/0:2], um in Prozesslisten wie ein Kernel-Thread auszusehen. Sysdig hatte diese SNOWLIGHT-zu-VShell-Kette bereits im April 2025 mit der mutmaßlich chinesischen Staatsgruppe UNC5174 in Verbindung gebracht. Zugleich betont der Bericht, dass VShell in chinesischsprachigen kriminellen Kreisen weit verbreitet ist und seine Nutzung allein nicht auf einen staatlichen Akteur schließen lässt.

Der Server enthielt laut SOCRadar auch Spuren einer früheren Kampagne mit anderem Profil. Vor der auffälligen WordPress-Welle habe dieselbe Gruppe Anfang Mai 2026 613 Konfigurationsdateien aus 11 Systemen bei neun Unternehmen aus Fintech, E-Commerce, Logistik, Gaming und Elektronik entwendet. Darunter waren Cloud-Anmeldeschlüssel für AWS, Alibaba Cloud, Oracle, Tencent und DigitalOcean, außerdem Datenbankpasswörter und private RSA-Schlüssel für Alipay. Genutzt wurde dabei die alte, bekannte Nacos-Schwachstelle CVE-2021-29441, mit der sich die Anmeldung durch einen gefälschten einzelnen Web-Header umgehen lässt.

Beide Teams bewerten mit mittlerer bis hoher Sicherheit, dass der Betreiber chinesisch oder chinesischsprachig ist. Als Indizien nennen sie flüssiges vereinfachtes Chinesisch in Code und Befehlsverlauf, die Nutzung von FOFA sowie die in chinesischsprachigen Foren verbreiteten Werkzeuge Godzilla und VShell. SOCRadar hält die Gruppe darüber hinaus eher für finanziell motiviert als staatlich gesteuert. Als lose Spuren nennt der Bericht die Namen tance, chen-kk und chenyk. Auffällig sei auch eine einzelne IP-Adresse in Taiwan, die mehr als 42.000 Anfragen zum Herunterladen der Werkzeuge der Gruppe gestellt habe; ob es sich um einen zweiten Betreiber, einen Kunden oder einen weiteren Forscher handelte, lasse sich aus den Logs nicht klären.

Als der Betreiber bemerkte, dass der Server entdeckt worden war, löschte er laut SOCRadar irgendwann zwischen dem 2. und 4. Juli einen Teil der Logzeilen. Zu diesem Zeitpunkt war die Offenlegung jedoch bereits seit drei Wochen sichtbar. SOCRadar verweist zudem darauf, dass zwei der ausgenutzten Schwachstellen auch andernorts aktiv missbraucht werden: Wordfence registrierte in diesem Frühjahr Zehntausende blockierte Angriffe auf CVE-2026-3300 in Everest Forms Pro, und die Joomla-JCE-Lücke CVE-2026-48907 wurde von CISA in die Liste der bekannten aktiv ausgenutzten Schwachstellen aufgenommen.