Der Einstieg in die Kampagne erfolgte laut ANY.RUN über gefälschte, polizeibezogene Dokumente, die als offizielle Mitteilungen mit Bezeichnungen wie „Ofício Polícia Civil“ oder „Procuração Digital“ präsentiert wurden. Einige enthielten QR-Codes, andere verwiesen auf Links, die wie legitime staatliche Ressourcen gestaltet waren.

In mehreren Fällen stammten die E-Mails aus kompromittierten Postfächern und bestanden SPF-, DKIM- und DMARC-Prüfungen. Dadurch wirkten die Nachrichten glaubwürdiger als gewöhnliche gefälschte Phishing-Mails. Opfer wurden anschließend über kompromittierte .gov.br-Hosts oder polizeinah gestaltete Täuschungsdomains zum schädlichen Installationsprogramm weitergeleitet.

Zu den während der Untersuchung beobachteten kompromittierten Systemen zählten laut ANY.RUN unter anderem timon.ma.gov[.]br, loginam.sesp.es.gov[.]br, aplicacao.cbm.mt.gov[.]br und prodoc.ap.gov[.]br. Diese legitimen kommunalen, sicherheitsbehördlichen und gerichtlichen Portale wurden in verschiedenen Phasen der Auslieferungskette eingesetzt. Mehrere davon tauchten zudem in mehr als einem Angriffsstrang von PhantomEnigma auf, was den Forschern half, zunächst voneinander getrennt wirkende Aktivitäten zusammenzuführen.

ANY.RUN beschreibt die Entwicklung der Operation entlang zweier Hauptlinien. Bei der Zustellung verlagerte sich PhantomEnigma von bankbezogenen Aktivitäten im Jahr 2025 hin zum Missbrauch kompromittierter .gov.br-Websites und E-Mail-Konten im Jahr 2026. Das verschaffte der Kampagne einen vertrauenswürdigeren Weg zu potenziellen Opfern, ohne dass damit laut Bericht zwingend eine neue Zielgruppe bestätigt wäre.

Parallel dazu veränderte sich das Arsenal der Angreifer. Aus einem auf Browser-Erweiterungen basierenden Banker wurde eine modulare Inno-/Node.js-Backdoor, die JavaScript ausführen und zusätzliche Nutzlasten nachladen kann. In den Sandbox-Sitzungen zeigte sich nach Angaben von ANY.RUN mehr als nur ein einfacher Downloader: In einer manipulierten Boostnote-Version und weiteren Anwendungen verbarg sich eine modulare index.js-Backdoor, die infizierte Systeme identifizieren, den Zugriff aufrechterhalten und je nach Bedarf unterschiedliche Nutzlasten ausliefern sollte.

Gerade diese modulare Bauweise erschwert die Abwehr. Laut ANY.RUN kann der Betreiber die endgültige Nutzlast austauschen, ohne die gesamte Infektionskette neu aufbauen zu müssen. Ein System, das zunächst mit demselben Installationsprogramm in Berührung kam, kann später einen Stealer, Loader, ein Fernverwaltungswerkzeug oder eine andere ausführbare Datei erhalten. Hinzu kommt, dass rotierende Command-and-Control-Domains statische Sperrlisten schnell veralten lassen.

ANY.RUN betont, dass vertrauenswürdige Infrastruktur die Erkennung zusätzlich erschwert. Eine legitime Regierungsdomain, eine authentifizierte E-Mail oder ein unauffälliges Dateiergebnis können Misstrauen senken, obwohl die Infektionskette bereits läuft. Für Banken und Organisationen des öffentlichen Sektors reicht das Risiko laut Bericht daher über einen einzelnen kompromittierten Endpunkt hinaus, weil gestohlene Zugangsdaten und dauerhafter Backdoor-Zugriff interne Systeme, sensible Daten und Finanzvorgänge gefährden können.