Die Angriffskette beginnt, wenn Nutzer auf Suchmaschinen wie Google nach Begriffen wie “W2 tax form” oder “W-9 Tax Forms 2026” suchen. Gesponserte Treffer leiten sie auf gefälschte Seiten wie “bringetax[.]com/humu/” weiter, die die Auslieferung des ScreenConnect-Installers anstoßen.

Was die Kampagne von früheren, etwa von Microsoft beschriebenen Aktionen mit steuerbezogenen Ködern abhebt, ist der Einsatz kommerzieller Tarndienste (Cloaking). Die Landing-Page ist durch ein PHP-basiertes Traffic Distribution System (TDS) des kommerziellen Dienstes Adspect geschützt: Sicherheitsscannern und Anzeigenprüfsystemen wird eine harmlose Seite gezeigt, während nur echte Opfer die tatsächliche Schadlast erhalten. Dazu wird ein Fingerabdruck des Besuchers erzeugt und an das Adspect-Backend gesendet, das über die passende Antwort entscheidet. Zusätzlich enthält die “index.php” eine zweite, serverseitige Tarnschicht des Anbieters JustCloakIt (JCI). Laut Pham laufen beide Dienste gestapelt in derselben Datei: Zuerst greift die serverseitige Filterung von JCI, danach liefert Adspect als zweite Schicht ein clientseitiges JavaScript-Fingerprinting.

Nach erfolgreichem Zugriff installiert der Angreifer mehrere Test-Instanzen von ScreenConnect auf dem kompromittierten Rechner und greift zur Absicherung auf weitere RMM-Werkzeuge wie den FleetDeck Agent zurück. Huntress beobachtete auf betroffenen Hosts ein wiederkehrendes Muster: Nach Aufbau des ersten betrügerischen ScreenConnect-Relays wurden binnen Stunden teils zwei oder drei zusätzliche Test-Instanzen sowie Backup-RMM-Werkzeuge nachgeschoben.

Über die ScreenConnect-Sitzung wird ein mehrstufiger Crypter abgelegt, der als Transportmittel für den EDR-Killer HwAudKiller dient. Dieser beendet per BYOVD-Technik Prozesse von Microsoft Defender, Kaspersky und SentinelOne. Als verwundbarer Treiber kommt “HWAuidoOs2Ec.sys” zum Einsatz – ein legitimer, signierter Huawei-Kernel-Treiber für die Audio-Hardware von Laptops. Laut Huntress beendet der Treiber den Zielprozess aus dem Kernel-Modus heraus und umgeht so die Schutzmechanismen im User-Modus, auf die Sicherheitsprodukte angewiesen sind. Weil der Treiber von Huawei signiert ist, lädt Windows ihn trotz Driver Signature Enforcement (DSE) ohne Beanstandung.

Der Crypter selbst versucht, der Erkennung zu entgehen, indem er 2 GB Speicher reserviert, mit Nullen füllt und wieder freigibt – die hohe Ressourcenbelegung bringt Antiviren-Engines und Emulatoren zum Scheitern.

Wer hinter der Kampagne steckt, ist unklar. Ein offen zugängliches Verzeichnis in der Infrastruktur der Angreifer enthielt jedoch eine gefälschte Chrome-Update-Seite mit JavaScript-Code, dessen Kommentare in russischer Sprache verfasst waren. Das deutet auf einen russischsprachigen Entwickler hin, der über einen Social-Engineering-Werkzeugkasten zur Malware-Verbreitung verfügt. Pham wertet die Kampagne als Beispiel dafür, wie handelsübliche Werkzeuge die Hürde für anspruchsvolle Angriffe gesenkt haben: Der Täter benötigte keine eigenen Exploits oder staatlichen Fähigkeiten, sondern kombinierte kommerzielle Tarndienste, kostenlose ScreenConnect-Instanzen, einen fertigen Crypter und einen signierten Huawei-Treiber mit ausnutzbarer Schwachstelle zu einer durchgehenden Angriffskette – von der Google-Suche bis zur Abschaltung des EDR im Kernel-Modus.