Der Kern der Schwachstelle liegt im Update-Prozess von TrueConf: Da der Client ein vom Server bereitgestelltes Update ohne ausreichende Prüfung als vertrauenswürdig akzeptiert, kann ein Angreifer das erwartete Update-Paket durch eine beliebige ausführbare Datei ersetzen. Diese wird als aktuelle Programmversion ausgegeben und an alle verbundenen Clients verteilt. “Ein Angreifer, der die Kontrolle über den lokalen TrueConf-Server erlangt, kann das erwartete Update-Paket durch eine beliebige ausführbare Datei ersetzen, sie als aktuelle Anwendungsversion ausgeben und an alle verbundenen Clients verteilen”, erklärt CheckPoint. Die manipulierte Datei werde so unter dem Deckmantel eines legitimen TrueConf-Updates ausgeliefert und ausgeführt.
Betroffen sind die TrueConf-Versionen 8.1.0 bis 8.5.2. Den Fix lieferte der Hersteller mit Version 8.5.3 im März 2026, nachdem CheckPoint die Lücke gemeldet hatte.
Die Angriffe der TrueChaos-Kampagne liefen über einen zentral verwalteten Regierungsserver und trafen so mehrere Behörden gleichzeitig, indem über gefälschte Updates Schaddateien an alle angebundenen Clients ausgespielt wurden. Die Infektionskette umfasst laut CheckPoint DLL-Sideloading, den Einsatz von Aufklärungswerkzeugen wie tasklist und tracert, eine Rechteausweitung über einen UAC-Bypass mittels iscicpl.exe sowie das Einrichten von Persistenz.
Die finale Schadkomponente konnten die Forscher nicht rekonstruieren. Der Netzwerkverkehr verwies jedoch auf eine Havoc-C2-Infrastruktur, weshalb der Einsatz des Havoc-Implants als sehr wahrscheinlich gilt. Havoc ist ein quelloffenes Command-and-Control-Framework, das auf kompromittierten Systemen unter anderem Befehle ausführen, Prozesse verwalten, Windows-Tokens manipulieren, Shellcode ausführen und weitere Schadkomponenten nachladen kann. Es wurde zuvor bereits vom chinesischen Bedrohungscluster “Amaranth Dragon” in Angriffen mit ähnlichem Zielspektrum eingesetzt.
Die Zuordnung der TrueChaos-Aktivität zu einem Bedrohungsakteur mit Bezug zu China stuft CheckPoint mit mittlerer Zuversicht ein. Grundlage sind die beobachteten Taktiken, Techniken und Vorgehensweisen (TTPs), die Nutzung von Alibaba Cloud und Tencent für die C2-Infrastruktur sowie das Opferprofil.
In seinem Bericht teilt CheckPoint Kompromittierungsindikatoren (IoCs) und mehrere Anzeichen für eine Infektion. Als deutliche Hinweise auf eine Kompromittierung gelten das Vorhandensein von poweriso.exe oder 7z-x64.dll sowie verdächtige Artefakte wie %AppData%\Roaming\Adobe\update.7z oder iscsiexe.dll.
