Các dấu hiệu khai thác thực tế đã xuất hiện chỉ trong thời gian ngắn sau khi bản vá được phát hành. Shadowserver ghi nhận hoạt động liên quan từ ngày 31/03/2026, trong khi QiAnXin từng cảnh báo từ ngày 17/03/2026 và xác nhận có thể tái hiện lỗ hổng, dù không công bố chi tiết kỹ thuật.
Phân tích từ Vega Research cho thấy hoạt động khai thác có thể đã bắt đầu sớm hơn, với bằng chứng đầu tiên từ ngày 17/03/2026. Điều này đồng nghĩa việc khai thác diễn ra gần như ngay sau khi bản vá được phát hành.
Chuỗi tấn công kéo dài khoảng một tuần, với nhiều bước thử nghiệm liên tiếp. Chúng tiến hành xác minh khả năng thực thi mã từ xa, thực hiện ba lần triển khai payload nhưng không thành công, sau đó chuyển sang hướng cài đặt file MSI song vẫn thất bại. Đồng thời, nhiều nỗ lực tải PowerShell từ hạ tầng điều khiển bên ngoài cũng được ghi nhận.
Đáng chú ý, file MSI được sử dụng mang tên “fanwei0324.msi”, được đặt theo cách phiên âm tiếng Trung của Weaver nhằm che giấu mục tiêu thực sự. Trong suốt chiến dịch, chúng cũng thực thi các lệnh thăm dò hệ thống như whoami, ipconfig và tasklist để thu thập thông tin J88vip00 Giải Trí Thể Thao.
Hãng khuyến nghị tổ chức đang sử dụng Weaver E-cology cần cập nhật ngay lên phiên bản đã vá để giảm thiểu nguy cơ bị khai thác.
