Eine bislang unbekannte Hackergruppe hat seit Juli 2024 eine großangelegte Cyberangriffskampagne gegen russische Industrie- und Forschungseinrichtungen gestartet. Im Zentrum der Attacken steht der neuartige Spionage-Trojaner Batavia, der gezielt auf den Diebstahl sensibler Unternehmensdaten spezialisiert ist und erhebliche Risiken für die nationale Sicherheit darstellt.
Zielgerichtete Angriffe auf strategische Branchen
Die Cyberkriminellen haben ihre Angriffe strategisch auf kritische Wirtschaftszweige ausgerichtet. Betroffen sind Dutzende von Unternehmen aus verschiedenen Schlüsselbranchen, darunter Schiffbauunternehmen, Luftfahrtkonzerne, Öl- und Gasunternehmen sowie Konstruktionsbüros. Diese gezielte Auswahl deutet stark auf Industriespionage als primäres Motiv der Angreifer hin.
Sicherheitsexperten identifizierten die Bedrohung erstmals im März 2025, als Schutzssysteme eine auffällige Häufung verdächtiger Dateien mit charakteristischen Namensmustern auf Computern russischer Organisationen registrierten. Eine detaillierte Analyse enthüllte die einzigartige Natur dieser Cyberbedrohung.
Technische Architektur des Batavia-Trojaners
Die Malware zeichnet sich durch eine ausgeklügelte Struktur aus, die VBA-Skripte und zwei ausführbare Dateien kombiniert. Im Gegensatz zu herkömmlichen Spionageprogrammen konzentriert sich Batavia ausschließlich auf Dokumentendiebstahl, was seine spezialisierte Natur unterstreicht.
Das Schadprogramm verfügt über umfassende Spionagefunktionen:
• Erfassung von Systemprotokollen und Informationen über installierte Software
• Diebstahl von E-Mails und Bürodokumenten verschiedener Formate
• Analyse von Inhalten auf Wechseldatenträgern
• Erstellung von Bildschirmaufnahmen
• Installation zusätzlicher Malware-Komponenten
Raffinierte Phishing-Methoden als Einfallstor
Der Infektionsprozess beginnt mit sorgfältig konzipierten Phishing-E-Mails, die authentische Geschäftskorrespondenz imitieren. Die Angreifer nutzen den Vorwand eines Vertragsabschlusses und fordern die Empfänger auf, angehängte Dokumente herunterzuladen. Die schädlichen Dateien tarnen sich als legitime Unternehmensdokumente mit Namen wie „договор-2025-5.vbe“, „приложение.vbe“ oder „dogovor.vbe“.
Mehrstufiger Kompromittierungsprozess
Diese Dateien enthalten bösartige Links, die einen dreistufigen Infektionsprozess auslösen. Um das Opfer abzulenken, wird gleichzeitig ein gefälschter Vertrag geöffnet, wodurch eine Illusion von Legitimität geschaffen wird. Nach erfolgreicher Installation beginnt der Trojaner mit der systematischen Datensammlung, durchsucht sowohl lokale Dateien als auch angeschlossene Speichergeräte.
Die gesammelten Informationen werden anschließend an von den Angreifern kontrollierte Server übertragen, was zu schwerwiegenden Datenlecks führen kann.
Schutzmaßnahmen gegen die Batavia-Bedrohung
Angesichts der spezifischen Angriffsmethoden müssen Organisationen ihre E-Mail-Sicherheitsmaßnahmen verstärken und das Bewusstsein ihrer Mitarbeiter für Social-Engineering-Techniken schärfen. Die kontinuierliche Weiterentwicklung der Angreifertaktiken erfordert einen ganzheitlichen Ansatz zur Unternehmenssicherheit.
Die Entdeckung des Batavia-Trojaners verdeutlicht die wachsende Bedrohung durch gezielte Angriffe auf kritische Infrastrukturen. Die rechtzeitige Erkennung und Analyse dieser Bedrohung unterstreicht die Bedeutung kontinuierlicher Cybersicherheitsüberwachung und die Notwendigkeit regelmäßiger Aktualisierungen von Schutzsystemen zur Abwehr neuer Malware-Varianten.
