Push Security zufolge dient bei der TikTok-Kampagne eine vorgeschaltete Cloudflare-Turnstile-Prüfung als Filter: Sie soll Bots und automatisierte Scanner daran hindern, den Inhalt der Seite zu analysieren. Erst danach wird die eigentliche AitM-Phishing-Seite ausgespielt, die auf den Diebstahl der Zugangsdaten ausgelegt ist.
Eine frühere Variante dieser Phishing-Kampagne war bereits im Oktober 2025 von Sublime Security gemeldet worden. Damals tarnten sich die E-Mails als Kontaktaufnahmen und nutzten diese Aufmachung als Social-Engineering-Methode.
Warum Geschäftskonten ein bevorzugtes Ziel sind, liegt aus Sicht der Forscher auf der Hand: Sie lassen sich für Malvertising und die Verbreitung von Schadsoftware einspannen. Push Security verweist darauf, dass TikTok schon zuvor zum Verteilen schädlicher Links und manipulativer Anweisungen missbraucht wurde, etwa für Infostealer wie Vidar, StealC und Aura Stealer.
Parallel dazu beschreibt WatchGuard eine weitere Phishing-Kampagne, die sich gegen Ziele in Venezuela richtet. Hier werden SVG-Dateien (Scalable Vector Graphics) als Anhang verschickt, deren Dateinamen auf Spanisch gehalten sind und die sich als Rechnungen, Belege oder Kostenvoranschläge ausgeben.
Laut WatchGuard nehmen die schädlichen SVG-Dateien beim Öffnen Verbindung zu einer URL auf, über die das schädliche Artefakt heruntergeladen wird. Die Kampagne nutze dabei den Dienst ja.cat, um URLs von legitimen Domains zu kürzen, die eine Schwachstelle für Weiterleitungen auf beliebige Ziele aufweisen — so verweisen die Links auf die ursprüngliche Domain, von der die Schadsoftware bezogen wird.
Bei dem heruntergeladenen Artefakt handelt es sich um eine in Go geschriebene Schadsoftware, die Überschneidungen mit einer BianLian-Ransomware-Probe aufweist, die SecurityScorecard im Januar 2024 dokumentiert hatte. WatchGuard ordnet die über die SVG-Anhänge angestoßene Phishing-Kette damit dem Umfeld von BianLian zu.
