Die Sicherheitsforscher von eSentire haben mit ChaosBot eine neue Rust-basierte Backdoor dokumentiert, die Discord als Command-and-Control (C2) missbraucht. Der Schadcode wurde Ende September 2025 erstmals in der Infrastruktur eines Finanzunternehmens beobachtet. Die Kampagne kombiniert kompromittierte VPN- und AD-Zugangsdaten, LNK-Phishing und Living-off-the-Land-Techniken, um sich unauffällig in Unternehmensnetzen zu etablieren und herkömmliche Erkennungen zu umgehen.
Initialzugang und Ausführung: kompromittierte Konten, LNK-Phishing, PowerShell
Kompromittierte Cisco-VPN- und AD-Servicekonten
Für den Erstzugang nutzten die Angreifer gestohlene Zugangsdaten, die sowohl für Cisco-VPN als auch für ein privilegiertes Active-Directory-Servicekonto gültig waren. In der Domäne führten sie Befehle via WMI aus – ein typisches Mittel für laterale Bewegung, das in MITRE ATT&CK als gängige Technik dokumentiert ist. Der Ansatz reduziert die Notwendigkeit zusätzlicher Tools und fügt sich unauffällig in legitime Administratoraktivitäten ein.
LNK-Anhänge als Auslöser für PowerShell
Parallel dazu setzten die Täter auf LNK-Dateien in Phishing-Mails. Das Öffnen der Verknüpfung startete eine PowerShell-Kommandozeile, die ChaosBot nachlud und ausführte, während ein täuschender PDF-Köder (angeblich vom Staatsbankensystem Vietnams) die Aufmerksamkeit des Nutzers band. Solche Ketten – LNK ➝ PowerShell ➝ Payload – sind in zielgerichteten Kampagnen verbreitet, da sie Dateisignaturen und Gateways umgehen können, wenn Telemetrie- und ASR-Regeln fehlen.
Tarneinsatz über Microsoft Edge und persistenter Zugriff via FRP
Living-off-the-Land über Edge-Komponenten
Die Nutzlast liegt als DLL msedge_elf.dll vor und wird über den legitimen Edge-Prozess identity_helper.exe geladen. Dieses Einhängen in vertrauenswürdige Binärdateien (Living off trusted processes) senkt die Telemetrie-Sichtbarkeit und erschwert signaturbasierte Erkennung. Nach der Etablierung führt ChaosBot Systemaufklärung durch und installiert einen Fast Reverse Proxy (FRP), um einen stabilen Rückkanal nach außen und damit persistenten Fernzugriff zu sichern.
Discord als C2: Infrastruktur, Steuerung und Fähigkeiten
Die Discord-API dient als Steuerzentrale: Für jedes kompromittierte System wird ein Kanal erzeugt, der dem Computernamen entspricht. Darüber erhalten Operatoren Befehle und senden Module nach. eSentire ordnet die Aktivität u. a. den Konten chaos_00019 und lovebb0024 zu. Der Funktionsumfang umfasst Systeminventarisierung, Kommandausführung sowie die Verwaltung des FRP-Tunnels. Die Wahl von Discord ist taktisch: Der Traffic ähnelt legitimer Nutzung, was die Erkennung in streng politikorientierten, aber schwach inspizierten Egress-Umgebungen erschwert.
Umgehung von Telemetrie: ETW-Patching und Anti-VM
Neuere Builds patchen ntdll!EtwEventWrite, indem die ersten Instruktionen durch einen direkten Return ersetzt werden. So wird ETW-basierte Ereigniserfassung unterdrückt – ein Problem für EDRs, die stark auf Event Tracing for Windows setzen. Zusätzlich prüft ChaosBot MAC-Präfixe, die Virtualisierungsumgebungen (z. B. VMware/VirtualBox) kennzeichnen. Bei einem Treffer beendet sich die Malware, um Sandbox-Analysen zu entgehen. Beide Taktiken gehören zum bekannten Repertoire fortgeschrittener Windows-Malware und sind in Forschung und Herstellerdokumentation ausführlich beschrieben.
Alternative Kanäle: FRP und Versuch mit VS Code Tunnel
Neben Discord und FRP versuchten die Angreifer, Visual Studio Code Tunnel als weiteren Backdoor-Kanal zu etablieren. Laut eSentire blieb dies ohne Erfolg. Der Ansatz bestätigt jedoch den Trend, legitime Entwicklerdienste für verdeckten Zugriff auszunutzen – ein Muster, das Blue Teams in ihren Egress- und Schatten-IT-Kontrollen berücksichtigen sollten.
Risikoanalyse und empfohlene Schutzmaßnahmen
Die Wahl von Rust erschwert statische Analyse und reduziert Signaturtreffer; die Nutzung von Consumer-Plattformen wie Discord tarnt die Kommunikation. In Kombination mit WMI für laterale Bewegung und FRP für verdeckte Tunnel entsteht ein hohes Risiko für Datendiebstahl und Ausfallzeiten – insbesondere bei privilegierten Konten und fehlender Multi-Faktor-Authentifizierung.
Priorisierte Maßnahmen für Unternehmen:
- MFA erzwingen für VPN und Admin-/Servicekonten; regelmäßige Passwortrotation, Just-in-Time-Privilegien und Einschränkung von Anmelderechten.
- Mail-Härtung: LNK-Anhänge aus externer Post blockieren oder isolieren; Benutzer für LNK-Köder sensibilisieren.
- PowerShell unter Kontrolle: Constrained Language Mode, Script Block/Module/Transcription Logging, Defender ASR-Regeln aktivieren.
- Egress-Überwachung: Discord-API nach Policy sperren oder strikt proxyen/inspektieren; Anomalien in Discord/Webhook-Traffic erkennen.
- Integritätsprüfungen: Abweichungen an EtwEventWrite erkennen; Jagdregeln für Edge-Prozesstampering und untypische DLL-Ladevorgänge (msedge_elf.dll via identity_helper.exe).
- Tunnel unterbinden: FRP-Sign
