A questão agora é como eles conseguiram inserir esse código na imagem, igual o @joker_josue falou. Provavelmente algum servidor de imagens foi invadido e eles conseguiram alterar?
Só se o link da imagem fosse um sub redirecionamento e por sua vez o destino foi redirecionado.
Acho que não foi isso.
Talvez eles usaram javascript para esconder o link da imagem original ou para reconstruir a imagem em SVG, e essa javascript não estava corretamente protegido, fazendo que em qualquer pagina do site que tivesse um formulário, fosso possível injetar código nele.
Mas, lá está... não sou especialista, apenas analisar a situação.
Dá pra executar qualquer javascript, extremamente perigoso. Quando programo meus sites eu sempre fico super atento a isso, já aconteceu até de um usuário testar/tentar um XSS no ninjastic.space, só que claro que estava previamente prevenido. 
Ele tentou fazer isso por que via? O formulário de pesquisa? Como ele injetava o XSS no teu site?