Eine neue Phishing-Kampagne namens Phantom Papa verbreitet seit Juni 2025 den Informationsdiebstahl-Trojaner Phantom. Die Angriffe zielen auf russisch- und englischsprachige Empfänger ab und setzen auf eine RAR → IMG/ISO-Kette, um ausführbare Dateien unauffällig in Zielsysteme zu bringen. Auffällig sind ausgeprägte Tarnmechanismen, breit angelegte Datensammeleigenschaften und ein Modul, das auf Inhalte für Erwachsene reagiert — mit klaren Risiken für Privatsphäre und Erpressung.
Taktiken, Ablaufkette und Angriffszielgruppen
Die E-Mails erscheinen in Russisch und Englisch; viele russische Texte zeigen Spuren maschineller Übersetzung. Betreffzeilen reichen von provozierenden Themen wie “See My Nude Pictures and Videos” bis zu klassischen Zahlungsbelegen, um die Öffnungsrate zu erhöhen. Im Anhang befinden sich RAR-Archive, die .img– oder .iso-Dateien enthalten. Beim Öffnen wird das Abbild gemountet; darin liegt ein ausführbares Programm, das Benutzerinteraktion ausnutzt und einfache Mail-Gateways umgeht.
Die Telemetrie weist Ziele in Retail, Industrie, Bauwesen und IT aus. Aktivität wurde auf Geräten in mindestens 19 Ländern beobachtet, darunter USA, Russland, Vereinigtes Königreich, Rumänien, Spanien, Kasachstan und Belarus. Ein Teil der Funde stammt erwartungsgemäß aus Forschungsumgebungen und Sandboxes.
Funktionen des Phantom Stealers und erfasste Daten
Phantom basiert auf dem öffentlichen Code Stealerium, was schnelle Anpassungen und Varianten begünstigt. Der Stealer inventarisiert Systemeigenschaften (Windows-Version, Hostname, Sprache, AV-Präsenz, CPU/GPU/RAM, Batteriestatus, Anzahl/Typ der Displays, Webcam-Verfügbarkeit) und extrahiert Browser-Artefakte wie Cookies, Passwörter und Zahlungsinformationen. Zusätzlich werden Dokumente und Bilder ausgelesen.
Für die Exfiltration unterstützt die Malware Telegram, Discord und SMTP. Mehrfach wurden Daten an den Telegram-Bot papaobilogs gesendet, der mindestens seit April 2025 aktiv ist — daher die Bezeichnung „Phantom Papa“.
Zum Funktionsumfang zählen Anti-Analyse, Autostart/Persistenz, Keylogging und Kompatibilität mit Obfuskatoren. Die Persistenz erfolgt u. a. über Kopien nach %APPDATA%\iWlfdcmimm.exe und %TEMP%\tmpB043.tmp sowie eine verzögert ausgeführte Aufgabe im Windows-Taskplaner.
Ungewöhnliches Modul: PornDetector
Ein separates Modul überwacht das aktive Fenster und reagiert auf Substrings wie “porn”, “sex”, “hentai”, “chaturbate”. Wird ein Treffer erkannt, erstellt Phantom ein Desktop-Screenshot (Ablage unter %LOCALAPPDATA%\[0-9a-f]{32}\logs\nsfw\yyyy-MM-dd\HH.mm.ss\) und nach 12 Sekunden — sofern das Fenster aktiv bleibt — einen Webcam-Schnappschuss. Diese Taktik erweitert die Erpressungsfläche und erhöht den psychologischen Druck auf Betroffene.
Infrastruktur und MaaS-Kontext
Die Verteilung erfolgt über eine Seite, deren Domain im Februar 2025 registriert wurde. Angeboten werden u. a. Phantom crypter, Phantom stealer advanced und Phantom stealer basic. Dieses „Shop“-Modell ist typisch für Malware-as-a-Service (MaaS) und beschleunigt die Skalierung von Kampagnen durch niedrige Eintrittsbarrieren.
Einordnung und MITRE-ATT&CK-Mapping
Die beobachteten TTPs korrespondieren mit MITRE ATT&CK: T1566 Phishing, T1204 User Execution, T1056 Keylogging, T1053 Scheduled Task, T1555/T1552 Credential/Browser Artifacts sowie T1567 Exfiltration over Web Services (Telegram/Discord). Der Transport über IMG/ISO senkt die Erkennungsrate an Mail-Gateways, da Abbild-Dateien oft weniger restriktiv geprüft werden. Laut Verizon DBIR 2024 spielt der „Human Factor“ bei rund zwei Dritteln der Sicherheitsvorfälle eine Rolle — Phantoms Social-Engineering-Ansatz fügt sich nahtlos in dieses Muster.
Empfehlungen: Prävention, Erkennung, Reaktion
Netzwerk: Egress-Kontrolle etablieren und ausgehende Verbindungen zu Telegram/Discord-APIs beschränken, sofern geschäftlich nicht erforderlich. Ungewöhnliche HTTPS-Ziele und API-Aufrufe alarmieren.
E-Mail: RAR/IMG/ISO-Anhänge am Gateway blockieren oder in Quarantäne mit Zusatzprüfung leiten. Richtlinie zum Verbot des Mountens von Abbildern ohne Adminrechte umsetzen.
Endpoint: EDR/NGAV mit Verhaltensregeln nutzen (Ausführung aus gemounteten Images, Erstellung von Taskplaner-Aufgaben durch unbekannte Prozesse, Schreibzugriffe nach %APPDATA%/%TEMP%, massenhaftes Lesen von Browser-Profilen). Zugriff auf Webcams segmentieren, API-Aufrufe protokollieren und unautorisierte Prozesse blockieren.
Menschlicher Faktor: Nutzer schulen, um schlechte Übersetzungen, provokative Betreffzeilen und unerwartete „Zahlungs“-Anhänge zu erkennen. Finanzbelege stets über sekundäre Kanäle gegenprüfen.
Phantom Papa verdeutlicht, wie vertraute Phishing-Taktiken, Image-Dateien und modulare Stealer zu einem wirksamen Werkzeug für Datendiebstahl und Erpressung verschmelzen. Organisationen sollten Mail-Anhänge und ausgehenden Verkehr strenger kontrollieren, verhaltensbasierte Erkennung stärken und Belegschaften kontinuierlich sensibilisieren. Wer die Kette früh unterbricht, reduziert das Risiko von Konto-, Zahlungs- und Vertraulichkeitsverlust erheblich — jetzt Abwehrmaßnahmen prüfen und Prioritäten im E-Mail-, Endpoint- und Egress-Schutz nachschärfen.
