A GreyNoise kiberbiztonsági vállalat figyelmeztetése szerint egy kiberbűnöző vagy kiberbűnözői csoport egy kezdeti hozzáférés megszerzésére irányuló művelet során nagyjából egy tucat, a ColdFusionhoz köthető sérülékenységet kísérelt meg kihasználni. A vállalat a 2025-ös karácsonyi időszak alatt világszerte több ezer, ColdFusion szerverek ellen irányuló HTTP-kérést észlelt, ami minden jel szerint egyetlen, egységesen koordinált betörési kísérletsorozat része volt.
A támadó forgalom döntő hányada japán infrastruktúráról érkezett (a GreyNoise a CTG Server Limited-hez köti a háttér-infrastruktúrát), és a teljes aktivitás nagy részéért mindössze két IP-cím volt felelős. A cég körülbelül 6 000 olyan kérést azonosított, amelyek 2023-ban és 2024-ben nyilvánosságra hozott ColdFusion sérülékenységeket céloztak; a tevékenység csúcspontja 2025. december 25-ére esett.
A GreyNoise szerint a kampány a ProjectDiscovery Interactsh eszközt használta out-of-band callback verifikációra, vagyis arra, hogy a támadó megerősítse: a célrendszer valóban végrehajtotta a bejuttatott payloadot, és képes volt külső irányba kommunikálni. Elsődleges támadási vektorként JNDI/LDAP injekciót alkalmaztak, ami tipikusan távoli kódfuttatás előszobája lehet. A megfigyelt forgalom 68%-a karácsony napjára koncentrálódott, ami arra utal, hogy a támadók kifejezetten és szándékosan olyan időszakot választottak, amikor a szervezeteknél jellemzően csökkentett az ügyeleti és biztonsági monitoring kapacitás.
A kérések célpontjai elsősorban Egyesült Államokbeli szerverek voltak (4 044 találat), ezt követte Spanyolország (753), India (128), míg Kanada, Chile, Németország és Pakisztán esetében nagyjából 100-100 célzott próbálkozást azonosítottak. A két fő, a ColdFusion-exploittal összefüggésbe hozott IP-cím az esetek 41%-ában párhuzamosan működött: 1–5 másodperces időközönként küldtek kéréseket, és célpontonként 11 különböző típusú támadást futtattak, ami automatizált, ipari jellegű szkennelésre és exploit-próbálkozásra utal.
A GreyNoise vizsgálata azt is megállapította, hogy a ColdFusion elleni támadások csupán kis szeletét képezik annak a rosszindulatú aktivitásnak, amely ehhez a két IP-címhez köthető. A kiberbiztonsági cég szerint ezek az IP-k egy sokkal nagyobb exploit kampányban is részt vesznek, amelyet nagy valószínűséggel egy kezdeti hozzáférést értékesítő kiberbűnöző üzemeltethet. Az érintett IP-k több mint 2,5 millió kérést generáltak, és több mint 700 különböző biztonsági hibát céloztak meg, számos eltérő technológiai stack és biztonsági termék ellen, vagyis nem egy célzott termékre optimalizált támadásokról van szó, hanem széles körű, opportunista jellegű sérülékenység-kihasználó infrastruktúráról.
A GreyNoise emellett arra is rámutatott, hogy az infrastruktúrát hosztoló internetszolgáltató korábban is összefüggésbe hozható volt rosszindulatú műveletekkel, például adathalász és spammelési kampányokkal. A szolgáltató regisztrációja Hongkonghoz köthető, több mint 200 000 IPv4 címet kontrollál, és a GreyNoise szerint valószínűsíthetően korlátozott a visszaélés-kezelési eljárásmódja, ami ideális környezetet biztosíthat olyan kiberbűnözőknek, akik nagyléptékű, automatizált exploit-kampányokat futtatnak és hosszabb ideig fenn akarják tartani a támadó infrastruktúrájukat.
