Bedreigingsactoren maakten gebruik van een zero-day-kwetsbaarheid met de hoogste ernst in Cisco Identity Service Engine (ISE) en Citrix-systemen om aangepaste backdoor-malware te implementeren. Het dreigingsinformatieteam van Amazon geïdentificeerd een onvoldoende validatie van door de gebruiker geleverde invoerkwetsbaarheid in Cisco ISE-implementaties. Dit maakte pre-authenticatie van externe code-uitvoering op gecompromitteerde eindpunten mogelijk, waardoor toegang op beheerdersniveau werd geboden. De bug, bijgehouden als CVE-2025-20337heeft een ernstscore van 10/10 (kritisch). Onderzoekers ontdekten deze inbraak tijdens het onderzoeken van een Citrix Bleed Two-kwetsbaarheid, ook uitgebuit als een zero-day. Volgens de NVD-pagina“Een kwetsbaarheid in een specifieke API van Cisco ISE en Cisco ISE-PIC zou een niet-geverifieerde, externe aanvaller in staat kunnen stellen willekeurige code als root uit te voeren op het onderliggende besturingssysteem.” In het advies staat: “De aanvaller heeft geen geldige inloggegevens nodig om dit beveiligingslek te misbruiken”, wat aangeeft dat exploits plaatsvinden door het indienen van een vervaardigd API-verzoek. Aanvallers hebben een aangepaste webshell geïmplementeerd, vermomd als een legitiem Cisco ISE-onderdeel met de naam IdentityAuditAction. Amazon legde uit dat deze malware niet kant-en-klaar was, maar op maat werd gebouwd voor Cisco ISE-omgevingen. De webshell werkte volledig in het geheugen, gebruikte Java-reflectie om in lopende threads te injecteren en registreerde zich als luisteraar om HTTP-verzoeken op de Tomcat-server te monitoren. Het implementeerde ook DES-codering met niet-standaard Base64-codering. Krijg toegang tot de vereiste kennis van specifieke HTTP-headers. Amazon heeft de aanvallen niet toegeschreven aan een bepaalde bedreigingsacteur, en stelt dat de aanvallen niet gericht waren, maar zonder onderscheid tegen talloze organisaties werden gebruikt.
