Staatlich gesteuerte Hackergruppen setzen zunehmend auf flexible Schadsoftware, die sich kaum noch erkennen lässt. Im Zentrum steht eine Weiterentwicklung des russischen Backdoors Kazuar.
Sicherheitsforscher von PolySwarm entdeckten am 25. Mai 2026, dass Kazuar nicht länger ein simples Hintertürchen ist. Die Malware hat sich zu einem komplexen Spionage-Framework entwickelt. Genutzt wird sie von der Gruppe Secret Blizzard – auch bekannt als Turla, Venomous Bear oder FSB Center 16.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-E-Book zur Cyber Security jetzt kostenlos sichern
Drei Module für maximale Tarnung
Die neue Architektur arbeitet mit drei funktionalen Modulen: Kernel, Bridge und Worker. Diese Aufteilung erlaubt es der Schadsoftware, zunächst nur eine kleine Spur zu hinterlassen. Erst bei Bedarf werden spezifische Fähigkeiten nachgeladen.
Besonders raffiniert: Ein „Leadership-Election“-Modell steuert die Kommunikationsknoten und reduziert so die Netzwerksignatur des infizierten Systems. Die Malware wird über den sogenannten Pelmeni-Dropper oder einen speziellen .NET-Loader eingeschleust. Einmal installiert, bietet Kazuar den Angreifern umfassende Kontrolle – unterstützt durch eine Konfigurationssuite mit rund 150 verschiedenen Optionen.
Die Hauptziele: Regierungsministerien, diplomatische Vertretungen und Verteidigungsorganisationen in Europa, Zentralasien und der Ukraine.
Angriffswelle auf Entwickler-Plattformen
Parallel dazu greifen andere Akteure die Software-Lieferkette an. In einer automatisierten Kampagne namens „Megalodon“ attackierten Angreifer am 18. Mai 2026 das GitHub-Ökosystem. Innerhalb von nur sechs Stunden drückten sie 5.718 schadhafte Commits in 5.561 Repositories.
Die Täter nutzten Fake-Identitäten wie „build-bot“ und „auto-ci“ sowie temporäre Konten, um bösartige GitHub-Actions-Workflows einzuschleusen. Ziel war der Diebstahl hochsensibler Daten: Cloud-Zugangsdaten, SSH-Keys, OIDC-Tokens und Geheimnisse aus CI-Umgebungen.
Nur eine Woche später, am 25. Mai, enthüllten Forscher von Socket Security die „TrapDoor“-Kampagne. Über 34 schadhafte Pakete und 384 Versionen in den Registries npm, PyPI und Crates.io wurden identifiziert. Die Kampagne zielt gezielt auf Entwickler in den Bereichen Kryptowährung, DeFi und Künstliche Intelligenz. Die Malware nutzt Prompt-Injection-Techniken, um KI-Assistenten wie Claude und Cursor zu kapern und Zugangsdaten von Coinbase, Binance, Solana und MetaMask zu stehlen.
Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie entlarvt. Kostenlosen Anti-Phishing-Ratgeber herunterladen
Nordkoreanische Hacker im Job-Interview-Trick
Auch nordkoreanische Gruppen haben ihre Taktiken verfeinert. Die Gruppe Void Dokkaebi (auch Famous Chollima) lockt Mitarbeiter von KI- und Krypto-Firmen mit gefälschten Job-Interviews. Seit Ende Mai 2026 setzt die Gruppe die Malware InvisibleFerret ein – neu kompiliert in .pyd- und .so-Dateien, um der Erkennung zu entgehen.
Iranische RATs und nordkoreanische Gedächtnis-Kunst
Im Nahen Osten ist die iranische APT-Gruppe Screening Serpens (UNC1549) aktiv. Seit Mitte Februar 2026 greift sie Organisationen in den USA, Israel und den Vereinigten Arabischen Emiraten an. Die Gruppe nutzt zwei neue Remote-Access-Trojaner: MiniUpdate und MiniJunk V2. Ihre C2-Infrastruktur läuft über Azure und tarnt sich als legitime Gesundheits- und Technologie-Domains.
Die nordkoreanische Lazarus-Gruppe hat einen reinen Arbeitsspeicher-Trojaner namens RemotePE entwickelt. Die Malware existiert ausschließlich im RAM, berührt nie die Festplatte und erschwert so forensische Analysen erheblich. Entwickelt zwischen Mitte 2023 und Mitte 2024, wird RemotePE derzeit gegen Finanzinstitute und Krypto-Firmen eingesetzt. Eine spezielle Löschfunktion überschreibt Dateien siebenmal, um eine Wiederherstellung zu verhindern.
Microsoft zerschlägt Zertifikate-Schmuggelring
Doch die Verteidiger schlagen zurück. Im Mai 2026 zerschlug Microsofts Digital Crimes Unit einen großen „Malware-Signing-as-a-Service“-Betrieb namens Fox Tempest.
Die Bande nutzte Microsofts Artifact Signing aus, um legitime Code-Signing-Zertifikate mit 72-stündiger Gültigkeit zu generieren. Diese Zertifikate verkaufte sie für 5.000 bis 9.000 US-Dollar an Cyberkriminelle. Mit gestohlenen Identitäten aus den USA und Kanada erschuf sie betrügerische Azure-Tenants und ermöglichte Malware-Autoren, Betriebssystem-Warnungen zu umgehen.
Prominente Ransomware-Gruppen wie Rhysida nutzten den Dienst, um schädliche Payloads als legitime Software wie Teams, AnyDesk und PuTTY zu tarnen. Nach der Zerschlagung widerrief Microsoft über 1.000 betrügerische Zertifikate.
Ausblick: Die technische Aufrüstung eskaliert
Die Entwicklung modularer Architekturen bei Secret Blizzard und spezialisierter Kampagnen wie TrapDoor und Megalodon zeigen einen klaren Trend: Angriffe werden widerstandsfähiger und automatisierter. Der Einsatz von Memory-only-RATs durch Lazarus unterstreicht das wachsende Streben nach Unsichtbarkeit.
Die anhaltende Ausnutzung legitimer Cloud-Dienste wie Azure und GitHub deutet darauf hin, dass Angreifer weiterhin auf vertrauenswürdige Plattformen setzen werden. Für Unternehmen – insbesondere in Verteidigung, Finanzen und kritischer Infrastruktur – heißt das: Entwickler-Workflows und CI/CD-Pipelines müssen zur obersten Priorität werden. Sie sind längst zum Haupteinfallstor für hochrangige Spionage und Credential-Diebstahl geworden.
Der Erfolg der Fox-Tempest-Zerschlagung liefert eine Blaupause für branchenübergreifende Zusammenarbeit. Doch die rasche Anpassung der Malware in dateilose und modulare Formen zeigt: Das Wettrüsten zwischen staatlichen Akteuren und Cybersicherheits-Verteidigern tritt in eine neue, volatile Phase.
