Hackers hebben toegang gekregen tot het e-mailaccount van een senior executive bij een grote wereldwijde effectenbeurs en gedurende maanden data buitgemaakt. De aanval, onderzocht door het threat-huntingteam van Broadcom’s Symantec en Carbon Black, begon in oktober 2025. De aanvaller behield toegang tot de gecompromitteerde Outlook-mailbox tot maart 2026, met een geschatte verblijftijd van ongeveer 150 dagen.

Het doel van de operatie was waarschijnlijk spionage, al zijn er geen details vrijgegeven over de dader of welke effectenbeurs precies werd getroffen. Volgens de onderzoekers is de mailbox van een senior executive een waardevol doelwit voor spionage, omdat deze informatie kan bevatten over externe onderhandelingen, interne besprekingen, de agenda, reispatronen en contacten van de executive. Organisaties zoals beurzen en toezichthouders beschikken vaak over niet-publieke informatie over beursnoteringen, handhavingsmaatregelen en marktbewegende gebeurtenissen. Door maandenlang ongestoord toegang te hebben tot deze mailbox kan een aanvaller een vrijwel compleet beeld vormen van het werkleven van het doelwit en de korte termijn strategie van de organisatie, zonder dat laterale bewegingen binnen het netwerk nodig zijn.

De eerste tekenen van kwaadaardige activiteit werden op 10 oktober 2025 waargenomen, toen malware al actief was op het gecompromitteerde systeem en zich voordeed als Adobe- en OneDrive-applicaties. Op 12 november werden command-and-control (C&C) kanalen opgezet en begon de aanvaller met het verzamelen en exfiltreren van data. Om geen argwaan te wekken, werden bestanden in kleine batches via Dropbox en OneDrive verstuurd. De onderzoekers benadrukken dat deze gestage diefstal resulteerde in een vrijwel continue buit van de Outlook-mailbox, opgesplitst in kleine archieven die niet opvielen bij beveiligingssoftware.

De aanvaller werkte continu aan het behouden van toegang door regelmatig taken opnieuw te registreren, vermomd als Adobe-, Lenovo- en OneDrive-systeemdiensten. Symantec en Carbon Black hebben indicatoren van compromittering (IoC's) beschikbaar gesteld om andere organisaties te helpen bij het detecteren van vergelijkbare aanvallen.