Nach Darstellung von Netcraft wurde die Mehrzahl der Vorfälle beim Defacement-Archiv Zone-H unter dem Konto „Typical Idiot Security" gemeldet – jenem Kürzel, das auch in den Defacement-Botschaften auftaucht. Das Unternehmen wertet dies als Versuch des Angreifers, sich einen Ruf aufzubauen.

Nach Einschätzung von Netcraft nutzt der Angreifer wahrscheinlich eine Schwachstelle aus, die das nicht authentifizierte Hochladen von Dateien erlaubt und Magento Open Source (Community Edition), Magento Enterprise / Adobe Commerce sowie Adobe-Commerce-Installationen mit Magento B2B betrifft. Die Sicherheitsfirma stellte Ähnlichkeiten zu den Angriffen vom Oktober 2025 fest, bei denen die SessionReaper-Lücke ausgenutzt wurde, und konnte in der aktuellen Magento-Community-Version selbst eine Textdatei in eine Testinstanz hochladen.

Betroffen waren weltweit bekannte Marken wie Asus, BenQ, Citroën, Diesel, FedEx, Fiat, Fila, Bandai, Lindt, Toyota und Yamaha – überwiegend Subdomains, regionale Storefronts und Staging-Umgebungen, vereinzelt aber auch kurzzeitig produktive Sites. Hinzu kamen mehrere regionale Behördendienste, Universitäts-Domains in Lateinamerika und Katar sowie internationale gemeinnützige Organisationen. Auch mehrere Domains der Trump Organization wurden verunstaltet.

Parallel zur Kampagne meldete Sansec die neue Schwachstelle in der REST-API. Der Fehler betrifft demnach alle Versionen von Magento Open Source und Adobe Commerce bis einschließlich 2.4.9-alpha2 und ließe sich in allen Versionen vor 2.3.5 zudem für Cross-Site-Scripting missbrauchen. Laut Sansec existiert der verwundbare Code seit der allerersten Magento-2-Version; Adobe habe ihn im Vorabzweig 2.4.9 im Rahmen von APSB25-94 behoben, ein gesonderter Patch für aktuelle Produktivversionen fehle jedoch.

Sansec, das die als PolyShell benannte Lücke gemeldet hat, beobachtete bislang keine aktive Ausnutzung. Viele Sites legten allerdings Dateien im Upload-Verzeichnis offen. „Die Exploit-Methode kursiert bereits, und Sansec rechnet damit, dass bald automatisierte Angriffe auftreten", so das Unternehmen.