Erstmals dokumentiert wurden die Kampagnen der Gruppierung von Cyjax. Demnach setzte Storm-2561 SEO-Poisoning ein, um Nutzer, die auf Bing nach Programmen von Anbietern wie SonicWall, Hanwha Vision und Pulse Secure (heute Ivanti Secure Access) suchten, auf gefälschte Seiten umzuleiten. Dort wurden sie zum Download von MSI-Installern verleitet, die den Bumblebee-Loader auslieferten.
Eine spätere Variante des Angriffs beschrieb Zscaler im Oktober 2025. Dabei wurden Nutzer, die auf Bing nach legitimer Software suchten, über betrügerische Websites wie “ivanti-vpn[.]org” zu einem trojanisierten Ivanti-Pulse-Secure-VPN-Client geleitet, der schließlich VPN-Zugangsdaten vom Rechner des Opfers stahl.
In der aktuellen Kampagne liegt im missbrauchten GitHub-Repository eine ZIP-Datei mit einem MSI-Installer, der sich als legitime VPN-Software ausgibt. Während der Installation lädt er bösartige DLL-Dateien per Sideloading nach. Ziel ist auch hier das Sammeln und Abfließenlassen von VPN-Zugangsdaten, wofür eine Variante des Informationsdiebs Hyrax zum Einsatz kommt.
Dem Opfer wird ein gefälschter, aber überzeugender VPN-Anmeldedialog angezeigt, um die Zugangsdaten abzufangen. Nach der Eingabe erscheint eine Fehlermeldung mit der Aufforderung, nun den echten VPN-Client herunterzuladen; in einigen Fällen werden die Nutzer auf die legitime VPN-Website weitergeleitet. Für die Persistenz nutzt die Schadsoftware den Windows-Registrierungsschlüssel RunOnce, sodass sie nach jedem Neustart automatisch ausgeführt wird.
“Diese Kampagne weist Merkmale auf, die mit finanziell motivierten Cybercrime-Operationen von Storm-2561 übereinstimmen”, erklärte Microsoft. Die bösartigen Komponenten seien digital signiert von “Taiyuan Lihua Near Information Technology Co., Ltd.”.
Microsoft hat die von den Angreifern kontrollierten GitHub-Repositories inzwischen entfernt und das legitime Zertifikat widerrufen, um die Operation zu unterbinden. Organisationen und Nutzern wird geraten, Multi-Faktor-Authentifizierung (MFA) für alle Konten zu aktivieren und beim Download von Software auf deren Echtheit zu achten.
