Expel liefert den technischen Hintergrund zu einem Vorfall, den DigiCert bereits im April 2026 offengelegt hatte. Nach Darstellung des Unternehmens nahm ein Angreifer am 2. April über einen Kunden-Chatkanal Kontakt zum Support auf und übermittelte eine ZIP-Datei, die als Screenshot eines Kunden getarnt war. In dem Archiv steckte eine .scr-Datei mit schädlicher Nutzlast. Auf diesem Weg verschafften sich die Angreifer Zugriff auf zwei Arbeitsplätze von Support-Analysten.
Wie DigiCert weiter erklärte, missbrauchte der Akteur anschließend eine eingeschränkte Funktion des Kunden-Support-Portals. Diese erlaubt authentifizierten Support-Mitarbeitern, Kundenkonten aus Sicht des jeweiligen Kunden zu öffnen, um Support-Aufgaben zu erledigen. Darüber konnten die Angreifer Initialisierungscodes für bereits genehmigte, aber noch nicht ausgelieferte Bestellungen von EV Code Signing-Zertifikaten aus einem begrenzten Satz von Kundenkonten einsehen.
Das eigentliche Problem lag laut DigiCert darin, dass der Besitz eines solchen Initialisierungscodes zusammen mit einer genehmigten Bestellung praktisch ausreichte, um EV Code Signing-Zertifikate über mehrere Kundenkonten und Zertifizierungsstellen hinweg zu erhalten. Das Unternehmen widerrief nach eigenen Angaben 60 Zertifikate. Von diesen 60 Zertifikaten wurden laut Expel 27 ausdrücklich mit dem Bedrohungsakteur verknüpft. Diese missbrauchten Zertifikate wurden demnach zum Signieren von Artefakten der Malware Zhong Stealer eingesetzt.
DigiCert räumte ein, das Bedrohungsmodell habe den Fall nicht berücksichtigt, dass Initialisierungscodes im internen Support-Portal für ein kompromittiertes Analystenkonto über die Portal-Funktion sichtbar sein könnten. Inzwischen habe das Unternehmen eine Code-Änderung umgesetzt, die diese Initialisierungscodes für weitergeleitete Nutzer sowohl auf EU- als auch auf US-Plattformen über Benutzeroberfläche und API verdeckt.
Im Zentrum der Operationen von CylindricalCanine steht nach Expel eine modifizierte Variante von Gh0st RAT, auch als Farfli bekannt. Die modulare Schadsoftware wird als Golden Gh0st RAT bezeichnet und über den Golden Gh0st Loader ausgeliefert. Expel zufolge besteht die Haupttaktik der Gruppe darin, Dateien zu verteilen, die in Phishing-Mails als Screenshots getarnt sind. Die Dateien werden als Link in die Nachricht eingebettet; ein Klick lädt weitere Nutzlasten von einem externen Server nach.
Das Ziel ist laut Expel eine DLL-Side-Loading-Kette: Eine legitime ausführbare Datei startet dabei eine manipulierte DLL, während gleichzeitig ein Köder-PDF mit der Fehlermeldung „Dienst nicht verfügbar“ angezeigt wird. Danach lädt die DLL eine verschlüsselte Nutzlast namens „update.log“. Im letzten Schritt wird Golden Gh0st RAT gestartet. Die Malware kann Persistenz einrichten, sensible Daten stehlen, einen SOCKS-Proxy-Tunnel aufbauen, Bildschirmausgabe unterdrücken, Tastatureingaben protokollieren, Screenshots erstellen, Prozesse auflisten, Shell-Befehle ausführen, weitere Nutzlasten ablegen und Windows-Ereignisprotokolle löschen. Für die Datensammlung zielt sie unter anderem auf Skype, Google Chrome, Mozilla Firefox, 360 Secure Browser, 360 Speed Browser und Tencent QQ Browser.
Expel ordnet CylindricalCanine als Untergruppe von GoldenEyeDog ein. Überschneidungen sieht das Unternehmen sowohl mit einem von QiAnXin bereits 2020 im Zusammenhang mit Angriffen auf die Glücksspielbranche seit 2019 entdeckten Schadprogramm als auch mit einer von ANY.RUN im Februar 2025 als Zhong Stealer dokumentierten Malware. Zudem verweist Expel auf einen Bericht von Elastic Security Labs aus dem November 2025, in dem ein mehrstufiger Loader namens RONINGLOADER beschrieben wurde, der eine Gh0st-RAT-Variante über NSIS-Installer verbreitete, die sich als Programme wie Google Chrome und Microsoft Teams ausgaben.
Nach Expel nutzte die Gruppe ihre Malware in diesem Jahr außerdem in einer mehrstufigen Angriffskampagne gegen Support-Mitarbeiter von Web3-Unternehmen. Dabei wurden verdächtige Links über Support-Chats verschickt, um Gh0st RAT auszuliefern. Die Forscher sehen bei Zielen und Werkzeugen Parallelen zu anderer chinesischer Cyberkriminalität, darunter Angriffe auf Finanzorganisationen im asiatisch-pazifischen Raum.
