Cybersecurity-onderzoekers hebben het DigiCert-beveiligingsincident van april 2026 toegeschreven aan een cluster van dreigingsactiviteiten genaamd CilindrischHond.
Expel, dat technische details van de gebeurtenis deelde, beschreef de dreigingsacteur als een subgroep van GoudenEyeHond (ook bekend als APT-Q-27, Dragon Breath en Miuuti Group), een Chinese cybercriminaliteitsgroep die bekend staat om zijn targeting op de gok- en gamingsector met behulp van namaakwebsites om met malware doordrenkte software te pushen. Het is bekend dat het minstens sinds 2015 actief is.
“In april 2026 gebruikte GoldenEyeDog hun malware om toegang te krijgen tot het apparaat van een ondersteuningslid bij DigiCert, een aanbieder van codeondertekenende certificaten, en maakte gebruik van hun toegang om certificaten te stelen die bedoeld waren voor DigiCert-klanten”, zei Expel-beveiligingsonderzoeker Aaron Walton in een analyse. “Deze aanval benadrukte de mogelijkheden van de malware en de operators.”
Centraal in de activiteiten van de dreigingsactor staat een aangepaste versie van Gh0st RAT (ook bekend als Farfli), een trojan voor externe toegang (RAT) die veel wordt gebruikt door Chinese hackgroepen, waaronder een andere productieve Chinese cybercriminaliteitsgroep die wordt gevolgd als Silver Fox. De modulaire malware, ook wel Golden Gh0st RAT genoemd, wordt geleverd door middel van Golden Gh0st Loader.
In een rapport dat in november 2025 werd gepubliceerd, beschrijft Elastic Security Labs het gebruik door de tegenstander van een meertrapslader met de codenaam RONINGLOADER om een Gh0st RAT-variant te distribueren via NSIS-installatieprogramma’s die zich voordoen als legitieme programma’s zoals Google Chrome en Microsoft Teams.
Eerder dit jaar werd een andere campagne waargenomen die verband hield met de hackgroep, waarbij een aanval in meerdere fasen werd georkestreerd, gericht op klantenondersteuningspersoneel dat voor Web3-bedrijven werkte, waarbij gebruik werd gemaakt van verdachte links die via de klantenservicechat waren verzonden om Gh0st RAT te leveren.
“Deze actoren gebruiken malware en richten zich op slachtoffers die consistent zijn met andere Chinese cybercriminaliteitsactiviteiten, waaronder het aanvallen van financiële organisaties in de regio Azië-Pacific”, aldus Expel. “De malware richt zich op financiële organisaties in de regio Azië-Pacific.”

Golden Gh0st RAT deelt gedrags- en tactische overlappingen met een lading die in 2020 werd gedetecteerd door de Chinese beveiligingsleverancier QiAnXin in verband met een aanvalscampagne gericht op de gokindustrie sinds 2019. Het overlapt ook met een malware die in februari 2025 door ANY.RUN werd gedocumenteerd als Zhong Stealer.
Het DigiCert-compromis
Bovendien is waargenomen dat CylindricalCanine code-ondertekenende certificaten misbruikt, ongeautoriseerde toegang krijgt tot DigiCert om code-ondertekenende certificaten te onderscheppen die bedoeld zijn voor DigiCert-klanten, en deze vervolgens gebruikt om hun eigen malware te ondertekenen om detectie te voorkomen.
In april 2026 maakte de certificeringsautoriteit (CA) bekend dat ze certificaten had ingetrokken die op frauduleuze wijze waren verkregen via haar interne ondersteuningsportaal nadat ze toegang hadden verkregen tot twee werkstations van ondersteuningsanalisten door een kwaadaardige lading uit te voeren die werd geleverd via een klantchatkanaal.
“Op 02-04-2026 nam een bedreigingsacteur contact op met het ondersteuningsteam van DigiCert via een klantenchatkanaal en leverde een ZIP-bestand af, vermomd als een screenshot van de klant”, legde DigiCert destijds uit. “Het bestand bevatte een uitvoerbaar .scr-bestand met een kwaadaardige lading.”

“De bedreigingsacteur gebruikte een beperkte functie binnen het klantondersteuningsportaal, waardoor geauthenticeerde DigiCert-ondersteuningsanalisten toegang konden krijgen tot klantaccounts vanuit het perspectief van de klant om ondersteuningstaken te vergemakkelijken. De bedreigingsacteur kon deze functie gebruiken om toegang te krijgen tot initialisatiecodes voor bestellingen die waren goedgekeurd maar in afwachting van levering voor EV Code Signing-certificaatbestellingen voor een eindige reeks klantaccounts.”
De fatale vergissing hier was dat het bezit van een initialisatiecode, gekoppeld aan een goedgekeurde bestelling, “functioneel voldoende” was om EV Code Signing-certificaten te verkrijgen voor een reeks klantaccounts en CA’s. Het bedrijf zei dat het 60 certificaten heeft ingetrokken die zijn uitgegeven door de volgende CA’s:
- DigiCert Vertrouwde G4 Code Ondertekening RSA4096 SHA256 2021 CA1
- DigiCert Vertrouwde G4 Code Ondertekening RSA4096 SHA384 2021 CA1
- GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1
- Verokey High Assurance Secure Code EV
Hiervan zouden er 27 expliciet in verband zijn gebracht met de bedreigingsacteur, waarbij de uitgebuite certificaten als wapen zijn gebruikt om Zhong Stealer-malwareartefacten te ondertekenen.
“Het dreigingsmodel hield geen rekening met het scenario waarin initialisatiecodes die zijn opgeslagen in het interne ondersteuningsportaal van DigiCert kunnen worden bekeken door een gecompromitteerd DigiCert-analistenaccount dat via de portaalfunctie werkt”, legde het bedrijf uit, eraan toevoegend dat het sindsdien een codewijziging heeft doorgevoerd om initialisatiecodes van proxy-gebruikers op zowel EU- als Amerikaanse platforms te maskeren met behulp van de UI of API.
Aanvalsketens leiden tot Golden Gh0st RAT
Expel zei dat de primaire tactiek van CylindricalCanine het verspreiden van bestanden is die vermomd zijn als screenshots in phishing-e-mails. De bestanden zijn in de berichten ingebed in de vorm van een link die, wanneer erop wordt geklikt, extra payloads downloadt van een externe server.
Het einddoel van de aanval is het activeren van een DLL-zijlaadketen, waarbij gebruik wordt gemaakt van een legitiem uitvoerbaar bestand om een frauduleuze DLL uit te voeren, terwijl tegelijkertijd een lok-PDF-document wordt weergegeven met de HTTP 503-fout ‘Service niet beschikbaar’. De DLL gaat vervolgens verder met het laden van een gecodeerde payload (“update.log”).
De laatste fase is Golden Gh0st RAT, die wordt geleverd met een breed scala aan mogelijkheden om persistentie in te stellen, gevoelige gegevens te stelen, een SOCKS-proxytunnel te starten, weergave-uitvoer te onderdrukken, toetsaanslagen te loggen, schermafbeeldingen te maken, processen op te sommen, shell-opdrachten uit te voeren, extra payloads te verwijderen en Windows-gebeurtenislogboeken te wissen. Enkele van de toepassingen waar het zich specifiek op richt voor het verzamelen van gegevens zijn onder meer Skype, Google Chrome, Mozilla Firefox, 360 Secure Browser, 360 Speed Browser en Tencent QQ Browser.
De bevindingen maken CylindricalCanine tot de nieuwste toevoeging aan een lijst van bedreigingsactoren, zoals Black Basta, TamperedChef (ook bekend als EvilAI) en Rhysida, waarvan bekend is dat ze bij hun cyberoperaties misbruik maken van code-signing-certificaten.
“Golden Gh0st RAT wordt voornamelijk gebruikt in phishing-e-mails en/of inzendingen ter ondersteuning van portals (deze inzendingen kunnen zelf e-mails zijn die zijn ontvangen door een ticketingsysteem)”, aldus Expel. “Zoals bij alle Gh0st RAT-varianten wordt de capaciteit van de malware afgehandeld via plug-ins en een interne module-dispatcher.”