Cybersecurity-onderzoekers hebben licht geworpen op een macOS-malvertisingcampagne met de codenaam Operation FlutterBridge, die een nieuwe achterdeur verspreidt genaamd FlutterShell.
Volgens Palo Alto Networks Unit 42 zou de campagne de volgende fase zijn van een eerder gerapporteerd activiteitencluster genaamd JSCoreRunner (ook bekend als FileRipple) eind augustus 2025. De cybercriminaliteitsgroep achter de twee aanvalsketens wordt gevolgd onder de naam CL-CRI-1089. Er wordt geschat dat de aanvallers al sinds 2023 actief zijn.
“Gebouwd met behulp van het Flutter-framework, infecteert FlutterShell doelen met adware via kwaadaardige desktopapplicaties”, aldus Unit 42. “Naast de adware-functionaliteit beschikt de payload over backdoor-mogelijkheden, waaronder het uitvoeren van shell-opdrachten en manipulatie van het bestandssysteem.”
Bewerkingen die worden toegeschreven aan CL-CRI-1089 omvatten ook Recipe Lister en Calendaromatic, die beide vallen onder een bredere aanduiding die bekend staat als TamperedChef (ook bekend als EvilAI), een doorlopende reeks campagnes waarbij gebruik wordt gemaakt van getrojaniseerde versies van productiviteitssoftware om mogelijk ongewenste programma’s (PUP’s) en adware af te leveren.
Deze campagnes verspreiden kwaadaardige Google- en YouTube-advertenties via een netwerk van door Google geverifieerde lege bedrijven, waarbij de advertenties fungeren als een lokmiddel om doelen te misleiden om malware in te zetten die zich voordoet als legitieme desktopapplicaties. Enkele van de frontbedrijven zijn AdsParkPro LTD, Advantage Web Marketing LLC en SOFT WE ART LIMITED (nu PACIFIC TRADE SOLUTIONS LTD).
De doelgroepen voor deze advertenties zijn macOS-gebruikers in de VS, Canada, Australië, Frankrijk en Duitsland. Hoewel geen van de Google Ads-accounts momenteel toegankelijk is via het Google Ads Transparency Center, geven gegevens van YouControl en het Companies House-register van de Britse overheid aan dat de bedrijven allemaal links hebben naar Oekraïense personen.
De nieuwste versie omvat de inzet van FlutterShell, dat willekeurige opdrachtuitvoering, bestandssysteeminteractie en exfiltratie van omgevingsvariabelen ondersteunt. Deze inspanningen zijn pas in maart 2026 ontdekt.
“Bij uitvoering wijzigt de malware de configuratiebestanden van Google Chrome om de browser te kapen, waardoor al het verkeer via een door de aanvaller gecontroleerde, met advertenties gevulde tussensite wordt gedwongen”, aldus onderzoekers Ido Asher, Noa Dekel en Tom Fakterman. “Alle geobserveerde voorbeelden zijn ondertekend met geldige Apple Developer ID’s en zijn met succes door de notaris goedgekeurd, wat betekent dat de geautomatiseerde veiligheidscontroles van Apple ze niet als kwaadaardig hebben gemarkeerd op het moment van indiening.”
Wat FlutterShell opmerkelijk maakt, is dat het een op WebView gebaseerde architectuur implementeert die gebruik maakt van een JavaScript-naar-native bridge, waardoor de tegenstander kwaadaardige logica op een externe website kan hosten, in plaats van deze in het binaire bestand in te sluiten. Dit maakt het op zijn beurt mogelijk om het gedrag van de malware in realtime dynamisch te veranderen zonder dat u de malware opnieuw hoeft te compileren of een bijgewerkte versie naar besmette hosts hoeft te sturen.
“In op WebView gebaseerde architectuur gebruikt een native applicatie een ingebedde webbrowsercomponent om inhoud weer te geven”, legt Unit 42 uit. “De JavaScript-naar-native bridge fungeert als een communicatiekanaal tussen deze webinhoud en de native host-applicatie, waardoor ze gegevens kunnen uitwisselen en functionaliteit kunnen kruisen.”
Er zijn drie verschillende varianten van FlutterShell geïdentificeerd, namelijk PodcastsLounge, PDF-Brain en PDF-Ninja. Dit, in combinatie met de aanwezigheid van onvoltooide functies in de JavaScript-logica die wordt gehost op de infrastructuur van de aanvallers, suggereert dat de malware waarschijnlijk actief wordt ontwikkeld.
Sommige varianten, PDF-Brain en PDF-Ninja, beschikken over een door kunstmatige intelligentie (AI) aangedreven samenvattingsmogelijkheid door documenten door te sturen via een door een aanvaller bestuurde server voordat ze worden verwerkt. Bovendien maakt de malware systeemvingerafdrukken en de diefstal van browsersessiegegevens mogelijk.
Er is ook vastgesteld dat FlutterShell technische overeenkomsten vertoont met Calendaromatic en Recipe Lister, waarvan de meest voor de hand liggende de op WebView gebaseerde codearchitectuur is om dynamische wijzigingen in de payload mogelijk te maken. Bovendien is waargenomen dat Advantage Web Marketing LLC niet alleen kwaadaardige advertenties verspreidt, maar ook optreedt als ondertekenaar voor Windows-adwarevarianten die aan het cluster zijn gekoppeld.
“De evolutie van JSCoreRunner naar FlutterShell vertegenwoordigt een aanzienlijke toename in technische diepgang voor de aanvallers achter CL-CRI-1089”, aldus Unit 42. “Bovendien benadrukt de omvang van het distributienetwerk, in combinatie met de geverifieerde shell-entiteiten die worden gebruikt om de controle van advertentienetwerken te omzeilen, het aanhoudende gevaar van malvertising. De coördinatie van meerdere shell-entiteiten en de snelle ontwikkeling en levering van nieuwe FlutterShell-varianten geeft aan dat deze campagne nog lang niet voorbij is.”
