Forscher von Elastic Security Labs haben eine gezielte Social-Engineering-Kampagne aufgedeckt, die das beliebte Notiz- und Wissensmanagement-Tool Obsidian als initialen Angriffsvektor missbraucht. Die Operation mit der Bezeichnung REF6598 richtet sich vor allem gegen Fachkraefte im Finanz- und Kryptosektor und endet auf Windows-Systemen in einem bislang undokumentierten Remote-Access-Trojaner (RAT) namens PHANTOMPULSE.
Gezielte Social-Engineering-Angriffe ueber LinkedIn und Telegram
Die Angreifer bauen den Erstkontakt ueber LinkedIn auf und geben sich als Vertreter von Venture-Capital-Fonds oder Investmentgesellschaften aus. Nach einem kurzen fachlichen Austausch wird das Gespraech in einen angeblichen Gruppenchat auf Telegram verlagert, in dem vermeintliche „Partner“ und „Kollegen“ eingebunden sind.
In diesem Chat werden Themen wie Liquiditaet, Kryptoprodukte und Finanzservices diskutiert, um eine glaubwuerdige Business-Situation zu erzeugen und Vertrauen zu schaffen. Dieser Ansatz spiegelt einen laengerfristigen Trend wider: Laut dem Verizon Data Breach Investigations Report (DBIR) sind rund 70–75 % der Datenvorfaelle direkt oder indirekt auf den menschlichen Faktor zurueckzufuehren. Social Engineering bleibt damit eines der effektivsten Mittel, technische Schutzmassnahmen zu umgehen.
Missbrauch von Obsidian-Community-Plugins als Angriffsvektor
Statt klassische Software-Schwachstellen auszunutzen, setzt REF6598 auf den Missbrauch legitimer Funktionen von Obsidian. Den Opfern wird angeboten, einem gemeinsam genutzten „Workspace“ oder „Dashboard“ beizutreten. Dazu erhalten sie Zugangsdaten zu einem Obsidian-Cloud-Vault, der angeblich Projektinformationen oder Investment-Analysen enthaelt.
Nachdem das Vault geoeffnet wurde, werden die Betroffenen aufgefordert, die Synchronisation des Eintrags „Installed community plugins“ zu aktivieren. Diese Option ist standardmaessig deaktiviert und kann nicht remote erzwungen werden – die manuelle Bestaetigung durch den Nutzer ist daher ein kritischer Schritt in der Angriffskette.
Versteckte Konfiguration statt klassischer Malware-Dateien
Im Hintergrund nutzen die Angreifer die Obsidian-Plugins Shell Commands und Hider. Shell Commands erlaubt die Ausfuehrung von Systembefehlen aus Obsidian heraus, waehrend Hider Elemente der Benutzeroberflaeche ausblendet und so verdachtige Aktivitaeten kaschiert.
Die fuer den Angriff noetige Logik steckt vollstaendig in JSON-Konfigurationsdateien des Vaults. Sobald die Plugins synchronisiert wurden, laden diese vordefinierte Konfigurationen nach und starten automatisch Kommandos auf dem System. Da sich die boesartige Logik in Konfigurationsdaten und nicht in klassischen Programmdateien befindet, umgehen die Angreifer haeufig signaturbasierte Antivirenloesungen, die vor allem auf ausführbare Dateien fokussiert sind.
PHANTOMPULSE: Remote-Access-Trojaner mit Ethereum-basiertem C2
Windows-Infektionskette: PowerShell, PHANTOMPULL und Tarnung in der Cloud
Auf Windows-Systemen startet das Plugin Shell Commands einen PowerShell-Skript, der einen Zwischenlader namens PHANTOMPULL nachlaedt. Dieses Modul entschluesselt im Speicher den eigentlichen Remote-Access-Trojaner PHANTOMPULSE, der nach Angaben der Forscher unter anderem mit generativen KI-Werkzeugen entwickelt wurde.
PHANTOMPULSE verfuengt ueber einen ungewoehnlichen Command-and-Control-Mechanismus (C2). Statt fest kodierte Domains oder IP-Adressen zu nutzen, greift der Trojaner auf die Ethereum-Blockchain zu. Er liest die juengste Transaktion eines im Code hart verdrahteten Wallets aus und extrahiert daraus die aktuelle C2-Adresse. Dieser Ansatz erschwert Blockierungsversuche erheblich, da klassische Domain- oder IP-Blocklisten nur begrenzt greifen.
Nach dem Abruf der C2-Informationen kommuniziert PHANTOMPULSE ueber WinHTTP mit dem Server, meldet Systemtelemetrie und nimmt Befehle entgegen. Die Funktionen entsprechen einem modernen RAT: Ausfuehrung beliebiger Kommandos, Datei-Upload und -Download, Screenshot-Erstellung, Keylogging sowie detaillierte System- und Umfeldaufklaerung. Damit erhalten Angreifer potenziell vollstaendigen Fernzugriff auf Arbeitsplaetze in Finanzinstituten und Kryptounternehmen.
macOS-Variante: AppleScript-Dropper und Telegram als Dead-Drop
Fuer macOS kommt eine angepasste Infektionskette zum Einsatz. Auch hier startet das Plugin Shell Commands einen stark obfuskierten AppleScript-Dropper. Dieser iteriert ueber eine Liste hart kodierter Domains und versucht, einen funktionsfaehigen C2-Server zu erreichen.
Falls alle Domains unzugänglich sind, nutzt der Dropper Telegram als „Dead Drop“-Kanal, um C2-Informationen ersatzweise zu beziehen. Diese Technik erhoeht die Resilienz der Infrastruktur: Selbst wenn mehrere Domains abgeschaltet werden, koennen Angreifer ueber alternative Kommunikationskanaele neue Kontrollserver bekanntgeben.
Im letzten Schritt laedt der Dropper einen zweiten Schadcode-Stufe von der gefundenen C2-Adresse und fuehrt sie ueber osascript aus. In der analysierten Kampagne war die C2-Infrastruktur jedoch bereits offline; der finale Payload konnte daher nicht rekonstruiert werden, und der beobachtete Angriff wurde vor Zielerreichung gestoppt.
Sicherheitsimplikationen und Empfehlungen fuer Finanz- und Kryptosektor
REF6598 unterstreicht einen klaren Trend in der IT-Sicherheit: Angreifer missbrauchen zunehmend vertrauenswuerdige Anwendungen und deren legitime Funktionen, anstatt auf klassische Exploits zu setzen. Diese „Living-off-the-Land“-Strategie reduziert die Sichtbarkeit der Angriffe und umgeht viele herkoemmliche Abwehrmechanismen.
Organisationen im Finanz- und Kryptobereich sollten daher ihre Bedrohungsmodelle und Richtlinien fuer Tools wie Obsidian, Notiz-Apps und Wissensdatenbanken ueberpruefen. Sinnvolle Massnahmen sind unter anderem:
• Kontrolle oder Deaktivierung von Community-Plugins in sensiblen Umgebungen, idealerweise mit Whitelist-Ansatz fuer vertrauenswuerdige Erweiterungen.
• Ueberwachung von PowerShell, AppleScript und anderen Skript-Engines, insbesondere wenn sie aus ungewoehnlichen Prozessen wie Obsidian heraus gestartet werden.
• Einsatz von EDR/XDR-Loesungen, die Prozessketten und Konfigurationsaenderungen analysieren, nicht nur Dateien scannen.
• Netzwerkbasierte Erkennung verdächtiger Verbindungen, etwa zu ungewoehnlichen Blockchain-APIs oder Messaging-Plattformen im Kontext von Arbeitsplaetzen.
Einen ebenso hohen Stellenwert hat die Sensibilisierung der Mitarbeitenden. Fachkraefte sollten darin geschult werden, angebliche Investoren- oder Partneranfragen auf LinkedIn kritisch zu pruefen, Wechsel in inoffizielle Messenger-Kanaele zu hinterfragen und das Einbinden fremder Vaults oder Workspaces nur nach klaren internen Freigaben vorzunehmen. Je weniger Nutzer bereit sind, auf Anfrage von Dritten Community-Plugins zu aktivieren oder fremde Zugangsdaten in Obsidian einzugeben, desto schwerer lassen sich Kampagnen wie REF6598 erfolgreich durchfuehren.
