Die Angreifer setzen bei ihrer Kampagne auf klassische Köder: Lures mit Bezug zur Justiz, Wohltätigkeit und aktuellen politischen Themen wie Starlink oder der ukrainischen Wohltätigkeitsorganisation Come Back Alive Foundation. Diese veranlassen Nutzer, schädliche Dateien auszuführen.
Die Infektionskette beginnt mit Windows-Shortcuts (LNK-Dateien), die eine HTML-Anwendung (HTA) in den Temp-Ordner schreiben. Diese wird dann via Microsoft Edge im Headless-Modus ausgeführt und lädt ein verschleiertes Script von Pastefy, einem legitimen Paste-Service, nach. Dadurch können die Angreifer ihr echtes Payload lange Zeit versteckt halten.
Um Persistenz zu sichern, kopieren die Akteure die LNK-Dateien in den Windows-Autostart-Ordner. Nach einem Neustart wird die Infektion automatisch wieder aktiviert. Der Browser wird mit speziellen Parametern wie “–no-sandbox”, “–disable-web-security” und “–use-fake-ui-for-media-stream” gestartet. Dies hebelt Sicherheitsfunktionen auf und gewährt Zugriff auf das Dateisystem, Kamera, Mikrofon und Bildschirmaufnahmen — ohne dass der Nutzer ein Bestätigungsdialog sieht.
Die DRILLAPP-Malware funktioniert als leichtgewichtiger Backdoor und nutzt eine Technik namens Canvas-Fingerprinting, um das Zielgerät eindeutig zu identifizieren. Sie übermittelt auch die Zeitzone des Opfers, um die geografische Region zu bestimmen — und prüft gezielt nach Ukraine, UK, Russland, Deutschland, Frankreich und anderen Ländern.
Zwei Varianten sind bekannt. Die erste wurde Anfang Februar 2026 entdeckt, die zweite in den letzten Februartagen. Die neuere Version verzichtet auf LNK-Dateien und nutzt stattdessen Windows Control Panel-Module. Der Backdoor wurde zudem mit rekursiver Datei-Aufzählung und Batch-Upload-Funktionen erweitert.
Ein besonders raffinierter Trick: Die Angreifer nutzen das Chrome DevTools Protocol (CDP), ein internes Protokoll von Chromium-Browsern, das nur mit dem Parameter “–remote-debugging-port” aktivierbar ist. Dies umgeht Javascripts Sicherheitsbeschränkungen beim Datei-Download — eine Fähigkeit, die normalerweise nicht zur Verfügung steht.
Laut S2 Grupo befindet sich DRILLAPP noch in frühen Entwicklungsstadien. Eine noch ältere Variante vom 28. Januar 2026 kommunizierte nur mit der Domain “gnome[.]com”. Die Sicherheitsforscher warnen: Die Nutzung eines Browsers als Backdoor-Plattform ist besonders tückisch, da Browser legitime, alltägliche Prozesse sind, die selten Verdacht erregen. Die erweiterten Debugging-Parameter bieten zugleich gefährliche Fähigkeiten, während der Browser legitimen Zugriff auf sensible Ressourcen wie Kamera und Mikrofon verschafft — ohne sofortige Warnmeldungen auszulösen.