Cybersicherheitsexperten von Positive Technologies haben eine signifikante Entwicklung in den Aktivitäten der berüchtigten Hackergruppe Dark Caracal aufgedeckt. Die seit 2012 aktive Gruppe hat ihre Taktik grundlegend verändert und setzt nun verstärkt auf den neu entwickelten Backdoor Poco RAT, was auf eine strategische Modernisierung ihrer Angriffsmethoden hindeutet.
Neue Angriffsstrategie mit Poco RAT im Fokus
Die Analyse der Experten zeigt, dass Dark Caracal eine großangelegte Kampagne mit dem Remote Access Trojan (RAT) „Poco“ gestartet hat. Besonders betroffen sind spanischsprachige Länder wie Venezuela, Chile, die Dominikanische Republik und Kolumbien. Der Backdoor ermöglicht den Angreifern weitreichende Kontrolle über infizierte Systeme und demonstriert deutlich fortgeschrittenere Fähigkeiten als frühere Werkzeuge der Gruppe.
Sophistizierte Social Engineering Techniken
Die Angreifer haben ihre Methoden verfeinert und setzen auf ausgeklügelte Phishing-Kampagnen. Dabei kommen speziell präparierte Dokumente zum Einsatz, die durch verschwommene Darstellung die Neugierde der Opfer wecken. Diese Köder-Dokumente umgehen erfolgreich gängige Antivirenlösungen und laden beim Öffnen automatisch einen .rev-Archiv herunter, der den Poco RAT Dropper enthält.
Technische Evolution und Bedrohungsanalyse
Die Forschungsergebnisse belegen einen strategischen Wechsel in Dark Caracals Vorgehensweise. Seit Juni 2024 wurden 483 verschiedene Poco RAT Varianten identifiziert – deutlich mehr als die 355 Bandook-Samples aus dem vorherigen Beobachtungszeitraum. Die technische Analyse von Poco RAT zeigt signifikante Überschneidungen mit dem früher verwendeten Bandook-Trojaner, sowohl in der Funktionalität als auch in der genutzten Netzwerkinfrastruktur.
Angesichts der historischen Ausrichtung von Dark Caracal auf hochrangige Ziele wie Regierungseinrichtungen, Militär, Journalisten und Aktivisten stellt diese Entwicklung eine erhebliche Bedrohung dar. Organisationen wird dringend empfohlen, ihre Sicherheitssysteme zu aktualisieren und verstärkt auf verdächtige Aktivitäten zu achten. Besonders wichtig sind dabei die Implementation moderner Endpoint-Protection-Lösungen, regelmäßige Sicherheitsschulungen für Mitarbeiter und die Integration aktueller Indikatoren für Kompromittierung (IoCs) in bestehende Sicherheitssysteme.
