PhaseShifters: Gefährliche Cyberspionage-Kampagne mit versteckten Schadcodes entdeckt

Foto des Autors

CyberSecureFox Editorial Team

Sicherheitsforscher von Positive Technologies haben eine hochentwickelte Cyberspionage-Kampagne aufgedeckt, die von der neu identifizierten Hackergruppe PhaseShifters (auch bekannt als Sticky Werewolf) durchgeführt wird. Die Angreifer setzen fortschrittliche Steganographie-Techniken ein, um schädlichen Code in unverdächtig erscheinenden Bildern und Textdateien zu verstecken.

Zielgerichtete Angriffe auf kritische Infrastruktur

Die Kampagne konzentriert sich hauptsächlich auf Organisationen in Osteuropa, wobei besonders Regierungseinrichtungen, Industrieunternehmen und Forschungszentren im Visier stehen. Die Angreifer nutzen dabei ausgeklügelte Spear-Phishing-Methoden, bei denen sie sich als legitime Behördenvertreter ausgeben und Empfänger zur Überprüfung gefälschter Dokumente auffordern.

Innovative Malware-Verteilungstechniken

Das Arsenal der Gruppe umfasst verschiedene Malware-Varianten, darunter Rhadamanthys, DarkTrack RAT und Meta Stealer. Die Infektionskette beginnt typischerweise mit passwortgeschützten Archiven, die manipulierte Dateien enthalten. Nach dem Öffnen dieser Dokumente werden automatisch Skripte ausgeführt, die getarnte Schadcode-Komponenten aus scheinbar harmlosen Bildern extrahieren.

Verbindungen zu anderen APT-Gruppen

Die forensische Analyse zeigt deutliche Überschneidungen mit den Taktiken anderer bekannter APT-Gruppen. Besonders auffällig sind die Parallelen zur Gruppe TA558 in Bezug auf die verwendeten Steganographie-Methoden. Auch die seit 2020 aktive Gruppe UAC-0050 nutzt vergleichbare Techniken im selben geografischen Gebiet.

Technische Indikatoren und Gemeinsamkeiten

Die Untersuchungen ergaben, dass PhaseShifters, TA558 und Blind Eagle identische Obfuskierungs- und Verschleierungswerkzeuge verwenden, die im Darknet vertrieben werden. Dies zeigt sich in ähnlichen Codestrukturen, PowerShell-Skript-Variablen und Methoden zur Payload-Speicherung.

Die Experten von Positive Technologies vermuten mit hoher Wahrscheinlichkeit, dass PhaseShifters und UAC-0050 möglicherweise dieselbe Gruppierung sind. Diese Hypothese stützt sich auf identische Angriffsmuster und zeitliche Übereinstimmungen ihrer Aktivitäten. Um diese Verbindung eindeutig zu bestätigen, sind jedoch weitere Untersuchungen und kontinuierliches Monitoring erforderlich. Organisationen wird dringend empfohlen, ihre Sicherheitsmaßnahmen zu überprüfen und besonders auf verdächtige Bilddateien und unerwartete E-Mail-Anhänge zu achten.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen