Cisco Talos heeft een actieve inbraak ontdekt die sinds januari 2026 plaatsvindt, waarbij een onbekende aanvaller de CloudZ remote access tool (RAT) en een nieuw ontdekte plugin genaamd “Pheno” heeft geïmplanteerd. Deze combinatie is ontworpen om inloggegevens en mogelijk eenmalige wachtwoorden (OTP's) van slachtoffers te stelen.

De CloudZ RAT maakt gebruik van de Pheno-plugin om de verbinding tussen pc en telefoon, opgezet via de Microsoft Phone Link-applicatie, te misbruiken. De plugin scant continu naar actieve Phone Link-processen en kan zo gevoelige mobiele data zoals sms-berichten en OTP's onderscheppen, zonder dat er malware op de telefoon zelf wordt geïnstalleerd. Door kritieke kwaadaardige functies dynamisch in het systeemgeheugen uit te voeren en controles uit te voeren om debuggers en sandbox-omgevingen te vermijden, weet CloudZ detectie te omzeilen.

De Windows Phone Link-applicatie, voorheen bekend als "Your Phone", is een synchronisatietool van Microsoft die standaard in Windows 10 en 11 is ingebouwd. Deze applicatie maakt via wifi en bluetooth een brug tussen pc en smartphone, waardoor onder andere sms-berichten en notificaties op de computer worden weergegeven. Tijdens de inbraak probeerde de aanvaller deze functionaliteit te misbruiken door met de CloudZ RAT en Pheno-plugin de SQLite-database van Phone Link op de pc te onderscheppen. Hierdoor kunnen sms-gebaseerde OTP-berichten en notificaties van authenticatie-apps worden buitgemaakt.

De inbraak begon volgens Talos met een onbekende initiële toegangsmethode, waarna een kwaadaardige update van een nep ScreenConnect-applicatie werd uitgevoerd. Deze dropte een .NET-loader die vervolgens de modulaire CloudZ RAT op het slachtofferssysteem installeerde. Na uitvoering ontsleutelt de RAT zijn configuratie, maakt een versleutelde verbinding met een command-and-control-server en voert opdrachten uit om credentials uit browsers te exfiltreren en plugins te installeren. De Pheno-plugin voert verkenning uit op de Phone Link-applicatie en schrijft verzamelde data naar een staging-map, waarna CloudZ deze data naar de C2-server stuurt.

Opvallend is dat de dropper een 64-bit executable is, gecompileerd in Rust en vermomd met bestandsnamen als “systemupdates.exe” of “Windows-interactive-update.exe”. Deze loader, gecompileerd op 1 januari 2026, ontsleutelt en dropte een .NET-loader die als tekstbestand werd verborgen in de map “C:\ProgramData\Microsoft\windosDoc\”.

Meer technische details en indicatoren van compromittering zijn beschikbaar in het IOC-overzicht van Cisco Talos. Voor aanvullende informatie over de dreiging en Cisco’s threat intelligence diensten, zie de informatie van Cisco Talos.