LAB52 hat zwei Varianten der Kampagne identifiziert. Die erste, Anfang Februar entdeckte Version nutzt eine Windows-Verknüpfung (LNK), um im temporären Ordner eine HTML Application (HTA) zu erzeugen, die anschließend ein entferntes Skript nachlädt. Dieses Skript ist auf Pastefy gehostet, einem legitimen Paste-Dienst. Zur Persistenz werden die LNK-Dateien in den Windows-Autostart-Ordner kopiert, sodass sie nach einem Neustart automatisch ausgeführt werden. Die Angriffskette zeigt dabei eine URL mit Ködern an, die sich auf die Installation von Starlink oder auf die ukrainische Wohltätigkeitsorganisation Come Back Alive Foundation beziehen.
Die HTML-Datei wird schließlich über Microsoft Edge im Headless-Modus ausgeführt und lädt das verschleierte Remote-Skript von Pastefy. Der Browser startet mit zusätzlichen Parametern wie –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source=true und –disable-user-media-security. Dadurch erhält er Zugriff auf das lokale Dateisystem sowie auf Kamera, Mikrofon und Bildschirmaufnahme, ohne dass eine Interaktion des Nutzers erforderlich ist.
Damit fungiert das Artefakt als schlanke Backdoor, die Dateisystemzugriff ermöglicht und Audio vom Mikrofon, Video von der Kamera sowie Bildschirmaufnahmen erfasst – alles über den Browser. Beim ersten Start erzeugt die Malware mittels Canvas-Fingerprinting einen Geräte-Fingerabdruck und verwendet Pastefy als Dead-Drop-Resolver, um eine WebSocket-URL für die Command-and-Control-Kommunikation (C2) abzurufen.
Übertragen werden der Geräte-Fingerabdruck sowie das anhand der Zeitzone bestimmte Herkunftsland des Opfers. Geprüft wird, ob die Zeitzone Großbritannien, Russland, Deutschland, Frankreich, China, Japan, den USA, Brasilien, Indien, der Ukraine, Kanada, Australien, Italien, Spanien oder Polen entspricht; trifft keines zu, wird standardmäßig die USA angenommen.
Die zweite, Ende Februar 2026 beobachtete Version ersetzt die LNK-Dateien durch Windows-Control-Panel-Module, behält die Infektionskette aber weitgehend bei. Die Backdoor selbst wurde erweitert und erlaubt nun rekursive Dateiauflistung, Stapel-Uploads und beliebige Datei-Downloads. Da JavaScript aus Sicherheitsgründen kein Herunterladen entfernter Dateien zulässt, greifen die Angreifer laut LAB52 auf das Chrome DevTools Protocol (CDP) zurück – ein internes Protokoll Chromium-basierter Browser, das sich nur bei aktiviertem Parameter –remote-debugging-port nutzen lässt.
Nach Einschätzung der Forscher befindet sich die Backdoor noch in einer frühen Entwicklungsphase. Eine am 28. Januar 2026 in freier Wildbahn entdeckte frühe Variante kommunizierte lediglich mit der Domain “gnome[.]com”, anstatt die eigentliche Schadlast von Pastefy nachzuladen.
