Onderzoekers van het Chinese cybersecuritybedrijf Qianxin ontdekten een grootschalige campagne die een kritieke SQL-injectie kwetsbaarheid ( CVE-2026-26980 ) in Ghost CMS misbruikt. Hierbij wordt kwaadaardige JavaScript-code geïnjecteerd die de ClickFix-aanvalsketen activeert. Meer dan 700 domeinen zijn getroffen, waaronder portals van universiteiten, AI- en SaaS-bedrijven, media, fintech, security sites en persoonlijke blogs. Onder de geïnfecteerde sites bevinden zich onder meer Harvard University, Oxford University, Auburn University en DuckDuckGo.

De kwetsbaarheid treft Ghost CMS versies 3.24.0 tot en met 6.19.0 en stelt onbevoegde aanvallers in staat om willekeurige data uit de website-database te lezen, waaronder admin API-sleutels. Deze sleutels geven beheerstoegang tot gebruikers, artikelen en thema’s, en kunnen worden gebruikt om pagina’s te wijzigen. Hoewel de patch voor deze kwetsbaarheid op 19 februari werd uitgebracht in versie 6.19.1, hebben veel sites de update niet geïnstalleerd.

SentinelOne publiceerde op 27 februari details over het misbruik van CVE-2026-26980 en methoden om incidenten te detecteren. Onderzoekers zagen minstens twee aparte clusters van activiteit die kwetsbare Ghost-sites aanvallen. Soms worden dezelfde domeinen na opschoning opnieuw geïnfecteerd met andere scripts, of verwijderen aanvallers elkaars code om hun eigen kwaadaardige script te plaatsen.

De aanval begint met het misbruiken van de SQL-injectie om admin API-sleutels te stelen. Met deze verhoogde rechten wordt kwaadaardige JavaScript in artikelen geïnjecteerd. Deze code fungeert als een lichte loader die een tweede fase laadt vanaf de infrastructuur van de aanvaller. Dit tweede script controleert bezoekers en bepaalt of zij doelwit zijn. Bezoekers die door deze controle komen, krijgen een nep Cloudflare-venster te zien via een iframe bovenop de pagina, met daarin de ClickFix-lokker.

Op deze ClickFix-pagina wordt slachtoffers gevraagd een opdracht in de Windows command prompt te plakken om te bewijzen dat ze mens zijn. Deze actie installeert vervolgens een payload op het systeem. Verschillende payloads zijn waargenomen, waaronder DLL-loaders, JavaScript droppers en een Electron-gebaseerd malware-exemplaar genaamd UtilifySetup.exe.

De belangrijkste maatregel voor beheerders van Ghost CMS-websites is het updaten naar versie 6.19.1 of hoger en het roteren van alle eerder gebruikte sleutels, omdat deze mogelijk zijn gelekt. XLab heeft indicatoren van compromittering (IoC’s) gepubliceerd, waaronder geïnjecteerde scripts, die gebruikt kunnen worden om de websites grondig te controleren en te reinigen. Daarnaast wordt aanbevolen om minimaal 30 dagen aan admin API-loggegevens te bewaren voor een betrouwbare terugblik bij incidentonderzoek.