News Week: 2. Februar bis 8. Februar 2026

ShadowHS signalisiert eine neue Klasse dateiloser Linux-Bedrohungen

Sicherheitsforscher haben ShadowHS aufgedeckt, ein auf Tarnung ausgerichtetes Linux-Malware-Framework, das vollständig im Arbeitsspeicher operiert und so die herkömmliche festplattenbasierte Erkennung umgeht. Anstatt ausführbare Dateien abzulegen, erfolgt die Ausführung über anonyme Dateideskriptoren und tarnt sich durch das Spoofing legitimer Prozessnamen. Die Infektionskette stützt sich auf einen stark obfuskierte, mehrstufigen Loader, der mit einer AES-256-CBC-Verschlüsselung geschützt ist und die Nutzlast erst zur Laufzeit rekonstruiert. Sobald ShadowHS aktiv ist, liegt der Schwerpunkt auf Aufklärung und Umgebungsanalyse, wobei installierte Sicherheitstools und Systemverteidigungen sorgfältig profiliert werden, bevor weitere Aktionen ermöglicht werden. Analysten beobachteten Prüfungen auf gängige Unternehmensschutzplattformen, Kernel-Schutzmaßnahmen und Anzeichen konkurrierender Malware. Das Framework umfasst zudem verdeckte Datenexfiltrationsmechanismen über GSocket-Tunnel, die eine herkömmliche Netzwerküberwachung umgehen. Auf Anweisung der Betreiber können ruhende Module Kryptomining, Anmeldedatendiebstahl und Dienstprogramme für Lateral Movement aktivieren. Diese Kampagne verdeutlicht, wie moderne Linux-Bedrohungen zunehmend Evasion, Persistenz und Betreiberkontrolle gegenüber lautstarkem, sofort destruktivem Verhalten priorisieren.

Vect RaaS taucht mit geschwindigkeitsorientierter Verschlüsselung und starker OPSEC auf

Forscher haben Vect identifiziert, eine neu aufgetauchte Ransomware-as-a-Service-Operation, die bereits mit Angriffen in Brasilien und Südafrika in Verbindung gebracht wird. Im Gegensatz zu vielen Gruppen, die geleakte Builder recyceln, behauptet Vect, dass seine Malware in C++ entwickelt wurde und ChaCha20-Poly1305 AEAD-Verschlüsselung sowie intermittierende Verschlüsselung nutzt, um die Dateisperrung zu beschleunigen und gleichzeitig die Störung zu maximieren. Analysten stellen Anzeichen ungewöhnlicher Reife für eine junge Kampagne fest, darunter plattformübergreifendes Targeting von Windows, Linux und VMware ESXi, die Ausführung im abgesicherten Modus zur Schwächung von Sicherheitskontrollen sowie ein strukturiertes Affiliate-Programm. Die operative Sicherheit der Gruppe stützt sich Berichten zufolge auf Monero-Zahlungen, TOX-basierte Kommunikation und eine reine TOR-Infrastruktur, was auf erfahrene Akteure oder ein Rebranding hindeutet. Es wird angenommen, dass der Erstzugriff über exponierte RDP/VPN-Dienste, gestohlene Anmeldedaten, Phishing oder die Ausnutzung von Schwachstellen erfolgt. Verteidiger werden angewiesen, Edge-Geräte zu härten, kritische Netzwerke zu segmentieren, administrative Pfade einzuschränken und auf den Missbrauch des abgesicherten Modus sowie schnelle, selektive Verschlüsselungsmuster zu achten, die auf Ransomware-Aktivitäten hindeuten.

Lotus Blossom nutzt Notepad++ Update-Kanal zur Verbreitung der Chrysalis-Backdoor

Jüngste Untersuchungen von Kaspersky und Rapid7 deckten eine hochselektive Supply-Chain-Kampagne auf, bei der Lotus Blossom den Update-Mechanismus von Notepad++ missbrauchte, um Malware zu verbreiten. Anstatt eine Software-Schwachstelle auszunutzen, manipulierten die Angreifer die Infrastruktur und fälschten Update-Manifeste, um die Auslieferung nur an sorgfältig ausgewählte Ziele sicherzustellen. In mehreren Wellen zwischen Mitte 2025 und Oktober erhielten Opfer NSIS-basierte Installer, die über den legitimen GUP.exe-Prozess ausgeführt wurden. Analysten dokumentierten sich entwickelnde Infektionsketten mit Metasploit-Loadern, Cobalt Strike Beacons, Lua-Komponenten und schließlich DLL-Sideloading über eine umbenannte Bitdefender-Binärdatei. Die letzte Stufe führte Chrysalis ein, eine getarnte, maßgeschneiderte Backdoor mit Reflective Loading, verschlüsselter Konfigurationsspeicherung, API-Hashing und HTTPS-Command-and-Control, die darauf ausgelegt ist, normalen Browser-Traffic zu imitieren. Die rotierenden Domains der Kampagne, der gestufte Shellcode und das disziplinierte Targeting-Profil entsprechen dem langjährigen Spionage-Handwerk von Lotus Blossom. Der Vorfall unterstreicht, dass vertrauenswürdige Update-Kanäle attraktive Vektoren bleiben, wenn Angreifer die Auslieferungsinfrastruktur anstelle des Codes kompromittieren.

Angreifer instrumentalisieren vertrauenswürdige KI-Infrastruktur für mobilen Bankraub

Die Hugging-Face-Missbrauchskampagne zeigt, wie Bedrohungsakteure zunehmend seriöse Plattformen ausnutzen, um Android-Banking-Trojaner zu verbreiten und gleichzeitig die Wahrscheinlichkeit einer Entdeckung zu verringern. Durch das Hosting polymorpher Malware-Varianten auf einem bekannten KI-Ökosystem nutzten Angreifer das implizite Vertrauen in legitime Domains und Content-Delivery-Kanäle aus. Die Opfer wurden zunächst dazu verleitet, eine gefälschte Sicherheitsanwendung zu installieren, die dann einen betrügerischen Update-Workflow auslöste, der Google Play imitieren sollte. Anstatt Nutzlasten direkt auszuliefern, leitete die Malware die Geräte zu Hugging-Face-Repositories weiter, wo Tausende von sich schnell ändernden Samples hash-basierte Abwehrmechanismen durch serverseitigen Polymorphismus umgingen. Einmal installiert, missbrauchte der Trojaner die Bedienungshilfen (Accessibility Services), um Anmeldedaten zu erfassen, SMS-basierte Zwei-Faktor-Authentifizierungscodes abzufangen und überzeugende Phishing-Overlays anzuzeigen, die auf Finanz-Apps wie Alipay und WeChat abzielen. Dieser Vorfall unterstreicht eine kritische defensive Herausforderung: Traffic, der von vertrauenswürdigen Diensten stammt, kann dennoch bösartige Absichten verbergen, was die Notwendigkeit einer Verhaltensüberwachung und einer Anomalieerkennung auf Berechtigungsebene verstärkt.

Resugenz von SystemBC zeigt Ausmaß, Tarnung und Linux-Expansion

Forscher von Silent Push berichten, dass SystemBC-Infektionen weltweit mittlerweile 10.000 eindeutige IP-Adressen überschreiten, trotz früherer Störungsbemühungen im Rahmen der Operation Endgame. Die Malware fungiert weiterhin als plattformübergreifender SOCKS5-Proxy, der es Angreifern ermöglicht, Traffic zu anonymisieren, Lateral Movement zu verschleiern und Netzwerke für Folgeoperationen wie Ransomware vorzubereiten. Eine bemerkenswerte Entwicklung ist die Entdeckung einer bisher undokumentierten Perl-basierten Variante, die auf Linux-Systeme abzielt und bei den gängigen Antiviren-Engines keine Erkennungen aufweist. Die Variante wird über einen Dropper ausgeliefert, der nach beschreibbaren Verzeichnissen sucht, und installiert mehrere eingebettete Payloads, was auf eine aktive Weiterentwicklung und plattformübergreifende Ambitionen hindeutet. Analysten identifizierten zudem Infektionen, die mit Infrastrukturen zum Hosting von Regierungswebsites in Verbindung stehen, was die Risiken für sensible Umgebungen verdeutlicht. Die Ergebnisse betonen, dass Proxy-Malware wie SystemBC oft eine Komponente für das Frühstadium einer Intrusion darstellt. Die Überwachung anomaler ausgehender Verbindungen, ungewöhnlichen Proxy-Verhaltens und bekannter Kompromittierungsindikatoren bleibt für die Verhinderung tiefergehender Kompromittierungen und operativer Störungen unerlässlich.

Missbrauch von Bildschirmschoner-Dateien zur Bereitstellung von RMM-basiertem Fernzugriff

Eine aktuelle Spearphishing-Kampagne verdeutlicht, wie Angreifer Windows-Bildschirmschoner-Dateien (.scr) umfunktionieren, um über legitime Remote-Monitoring- und Management-Tools (RMM) eine getarnte Persistenz zu etablieren. Da .scr-Dateien portable ausführbare Dateien sind, können sie beliebigen Code ausführen und entgehen dabei oft Richtlinien, die primär .exe- oder .msi-Formate einschränken. In den beobachteten Angriffen wurden Opfer über geschäftsorientierte E-Mails angelockt, die auf in der Cloud gehostete Payloads verlinkten, die als Rechnungen oder Dokumente getarnt waren. Nach der Ausführung installierte der Bildschirmschoner unbemerkt einen RMM-Agenten, der eine verschlüsselte, neustartresistente Fernsteuerung ermöglichte, die autorisierten IT-Aktivitäten stark ähnelt. Diese „Living-off-the-Land“-Technik verringert die Abhängigkeit von offensichtlicher Malware und verzögert die Entdeckung, indem sie mit normalen Administrations-Workflows verschmilzt. Forscher warnen, dass ein solches Vorgehen schnell zu Anmeldedatendiebstahl, Lateral Movement, Datenexfiltration oder dem Einsatz von Ransomware eskalieren kann. Verteidiger werden angewiesen, .scr-Dateien als nicht vertrauenswürdige ausführbare Dateien zu behandeln, die Ausführung aus Benutzerverzeichnissen einzuschränken und die RMM-Nutzung durch Allowlisting und Verhaltensüberwachung streng zu kontrollieren.

Fazit

Zusammenfassend lässt sich sagen, dass sich die heutige Bedrohungslandschaft über Plattformen und Angriffsvektoren hinweg weiter ausdehnt – von dateiloser Linux-Malware und Proxy-Botnetzen bis hin zu Supply-Chain-Kompromittierungen und getarnten Fernzugriffstechniken. Diese Vorfälle untermauern eine entscheidende Realität: Prävention allein reicht nicht aus, und Unternehmen müssen gleichermaßen in Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten investieren.

Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Unterstützung durch Ransomware-Wiederherstellungsdienste, einschließlich unseres fortschrittlichen Ransomware-Entschlüsselungsdienstes, sowie Ransomware-Verhandlungsdienste und einen proaktiven Incident Response Retainer. Wenn Ihr Unternehmen fachkundige Unterstützung benötigt, um sich von einem Angriff zu erholen oder seine Cyber-Resilienz zu stärken, kontaktieren Sie uns noch heute.