قالت وحدة استخبارات التهديدات في غوغل إن أكثر من ١٤ ألف موقع تعمل على نظام إدارة المحتوى &#٨٢٢٠;ووردبريس&#٨٢٢١; تعرضت للاختراق واستُخدمت كمنصات لنشر برمجيات خبيثة. وأفاد التقرير بأن الحملة تنسب إلى جهة تهديد تُعرف باسم &#٨٢٢٠;UNC٥١٤٢&#٨٢٤٣;، وهي مجموعة ظهرت في أواخر ٢٠٢٣ وأوقفت نشاطها المعلَن في أواخر يوليو ٢٠٢٥، دون أن يتضح ما إذا كان التوقف مؤقتًا أو تحولًا إلى أساليب جديدة.
وقالت غوغل إن ثقتَها كبيرة بأن المجموعة قد تحسّنت من تقنيات التعتيم لديها وقد تواصل عملها في الخفاء، مستهدفة مواقع ووردبريس العشوائية التي تحتوي إضافات أو ملفات بها ثغرات، وفي بعض الحالات استهدفت قاعدة بيانات ووردبريس نفسها.
وقد كانت المواقع المُخترقة تُحقن بأداة تنزيل جافاسكربت متعددة المراحل أُطلق عليها اسم &#٨٢٢٠;CLEARSHOT&#٨٢٢١;، مكّنت المهاجمين من جلب الحمولة الخبيثة (المرحلة الثانية) من بلوكشين عمومي مثل شبكة &#٨٢٢٠;BNB Chain&#٨٢٢١; بدلاً من الاعتماد على خوادم تقليدية يسهل تتبعها. ويمثل استخدام البلوكشين في هذا السياق وسيلة لزيادة قدرة الحملة على الصمود وجعل تعطيلها أصعب.
