Sipas sensorëve të Paparaci, pothuajse të gjitha adresat IP që kanë përshkuar dobësinë e plugin‑it Gravity SMTP për WordPress duken të përdorin të njëjtën shenjë HTTP. 99,1 % e 566 IP-ve të regjistruara dërgojnë një hash JA4H (ge11nn0500_9af7e0472034) që përfaqëson formën e kërkesës HTTP, duke treguar se një operacion i vetëm kontrollon një flotë të madhe instancash të përkohshme në Google Cloud.
Hash‑i JA4H mbulon 480 973 kërkesa nga 3 158 IP‑ra në 92 rrjete dhe 43 vende, duke filluar nga 19 shkurt. 3 299 vargje të ndryshme “user‑agent” – nga BlackBerry 9800 i vitit 2010 deri te Android 1.5 – përdoren për të maskuar origjinën, ndërsa shenjëja e kërkesës mbetet e pandryshuar. Operacioni skanizon mbi 36 000 porte, duke kërkuar skedarë të ndjeshëm si .env, konfigurime git, kredenciale dhe dump‑e databazash në shërbime si Docker, Kubernetes, MongoDB, Elasticsearch dhe API‑të e Ollama.
Dobësia në plugin‑in Gravity SMTP ekspozon një endpoint REST që, pa kontroll, kthen një raport sistemor prej 365 KB me kredencialet SMTP, çelësat API të SendGrid dhe Mailgun, dhe token‑at DKIM. CrowdSec e ka klasifikuar si “shfrytëzim aktiv”, duke regjistruar 412 IP‑ra të veçanta në periudhën 27 maj – 1 qershor. Në një periudhë të shkurtër, më 14‑15 qershor, 1 799 IP‑ra (1 779 në Google Cloud) kanë kryer deri në 590 kërkesa për secilin prej 904 shtigjeve të skanuara, duke prodhuar rreth 374 000 kërkesa brenda dy ditëve, përpara se operacioni të ndalë më 16 qershor.
Kjo aktiviteti nuk duket si një skaner i thjeshtë i dobësive, por si një kolektor kredencialesh që përditëson listën e skedarëve sekretë që kërkon në çdo “bug” të ri të zbuluar. Përdorimi i një konti të paguar ose të vjedhur në Google Cloud, së bashku me rotacionin e “user‑agent”‑eve, e bën bllokimin e adresave IP të pamundur për sistemet tradicionale të mbrojtjes. Deri tani, as Google Cloud as përfaqësuesit e Gravity SMTP nuk kanë dhënë koment për këtë incident.