Im Zentrum der Kampagne steht das Vertrauen, das der TrueConf-Client seinem Update-Mechanismus entgegenbringt. Nach Angaben von Check Point muss ein Angreifer nicht jeden einzelnen Endpunkt kompromittieren, sondern missbraucht die Vertrauensbeziehung zwischen einem zentralen, lokal betriebenen TrueConf-Server und seinen Clients. Indem ein legitimes Update durch ein bösartiges ersetzt wird, verwandelt sich der reguläre Update-Ablauf des Produkts in einen Verteilkanal für Schadsoftware – und das über mehrere verbundene Regierungsnetze hinweg.
Erste Angriffe, die die Schwachstelle ausnutzen, zeichnete das Sicherheitsunternehmen nach eigenen Angaben zu Beginn des Jahres 2026 auf. Über das gefälschte Installationsprogramm gelangt mittels DLL-Side-Loading eine als Backdoor fungierende DLL auf das System. Dieses Implantat mit dem Dateinamen “7z-x64.dll” wurde zudem dabei beobachtet, wie es per manueller Steuerung Aufklärung betreibt, Persistenz einrichtet und weitere Schadkomponenten nachlädt.
Konkret holt die Backdoor eine weitere Datei (“iscsiexe.dll”) von einem FTP-Server unter der Adresse 47.237.15[.]197. Aufgabe dieser Komponente ist es, die Ausführung einer harmlosen Binärdatei (“poweriso.exe”) sicherzustellen, die ihrerseits zum Side-Loading der Backdoor abgelegt wird.
Welche Schadsoftware am Ende der Angriffskette tatsächlich ausgeliefert wird, ist nicht eindeutig geklärt. Check Point geht jedoch mit hoher Sicherheit davon aus, dass das Ziel der Einsatz des quelloffenen Command-and-Control-Frameworks Havoc ist.
Die Zuordnung von TrueChaos zu einem Akteur mit China-Bezug stützt sich auf mehrere Beobachtungen: den Einsatz von DLL-Side-Loading, die Nutzung von Alibaba Cloud und Tencent als C2-Infrastruktur sowie den Umstand, dass dasselbe Opfer im selben Zeitraum auch mit ShadowPad angegriffen wurde – einer Backdoor, die häufig von Gruppen mit China-Bezug verwendet wird. Hinzu kommt, dass der Einsatz von Havoc im Jahr 2025 bereits einem weiteren chinesischen Bedrohungsakteur namens Amaranth-Dragon zugeschrieben wurde, der es bei Angriffen auf Regierungs- und Strafverfolgungsbehörden in Südostasien einsetzte.
