Eind 2025 reageerde Mandiant op een beveiligingsincident waarbij een webserver met het Learning Management System KnowledgeDeliver was gecompromitteerd. Mandiant identificeerde een kritieke kwetsbaarheid die ongeauthentiseerde Remote Code Execution (RCE) mogelijk maakte. Een onbekende dreigingsactor maakte misbruik van deze kwetsbaarheid om kwaadaardige code in het LMS-platform te injecteren, met als doel gebruikers die de site bezochten te infecteren.

De kwetsbaarheid is het gevolg van het gebruik van identieke vooraf gedeelde ASP.NET machine keys in meerdere klantomgevingen. Installaties van KnowledgeDeliver die vóór 24 februari 2026 werden uitgerold, maakten gebruik van een gestandaardiseerd web.config-bestand van de leverancier met hardcoded machineKey-waarden. Deze sleutels worden door het ASP.NET-framework gebruikt om data, waaronder ViewState-payloads, te versleutelen en te ondertekenen. Omdat deze sleutels identiek waren over verschillende klanten, kon een aanvaller die de sleutel van één omgeving wist te bemachtigen, elke andere internettoegankelijke KnowledgeDeliver-installatie compromitteren. Deze kwetsbaarheid wordt geregistreerd als CVE-2026-5426.

De ASP.NET ViewState bewaart de staat van pagina’s tussen postbacks. Met kennis van de machineKey kan een aanvaller een kwaadaardige ViewState-payload samenstellen en deze via het __VIEWSTATE-parameter in een HTTP-verzoek versturen. De server deserialiseert deze payload vervolgens, wat leidt tot code-injectie. Deze aanvalsmethode volgt het patroon van eerdere ViewState deserialisatiekwetsbaarheden, zoals die bij Sitecore en de code-injectieaanvallen met openbaar gemaakte ASP.NET machine keys door Microsoft beschreven.

Na het verkrijgen van toegang richtten de aanvallers zich op het behouden van hun aanwezigheid en het vergroten van de impact. Zo werd de .NET-gebaseerde in-memory web shell BLUEBEAM (ook bekend als Godzilla) ingezet. Deze malware draait volledig in het geheugen van het IIS workerproces (w3wp.exe), waardoor detectie via traditionele bestandscontroles lastig is. Via versleutelde HTTP POST-verzoeken kunnen aanvallers hiermee verdere commando’s en payloads uitvoeren.

Daarnaast werden bestandsrechten aangepast met icacls om "Iedereen" volledige toegang te geven tot de webapplicatiemap. Ook werd een JavaScript-bestand gemanipuleerd om gebruikers een valse beveiligingswaarschuwing te tonen die aanzet tot het installeren van een zogenaamd "security authentication plugin". Tegelijk werd een kwaadaardig script van een door de aanvallers beheerd domein geladen. Dit script leidde tot het downloaden van een nep-installatieprogramma, waarmee werkstations geïnfecteerd raakten met een Cobalt Strike BEACON backdoor. De payload was versleuteld met een sleutel die de naam van de getroffen organisatie bevatte, wat duidt op een gerichte aanval.