Sicherheitsforscher der russischen Firma Solar 4RAYS haben eine bislang unbekannte Cyberkriminellen-Gruppe namens Proxy Trickster identifiziert, die sich auf die Monetarisierung kompromittierter Server spezialisiert hat. Die Angreifer konnten erfolgreich 874 Server in 58 Ländern weltweit infiltrieren und nutzen diese für Kryptowährungs-Mining und Proxyjacking-Operationen.
Entdeckung und Aktivitätszeitraum der Cyberkriminellen
Die Hacker-Gruppe geriet erstmals im März 2025 ins Visier der Cybersecurity-Experten, als diese einen Sicherheitsvorfall in einem russischen IT-Unternehmen untersuchten. Forensische Analysen digitaler Spuren belegen jedoch, dass die ersten Angriffe von Proxy Trickster bereits im Mai 2024 begannen, was auf eine langanhaltende und systematische Kampagne hindeutet.
Das Geschäftsmodell der Cyberkriminellen basiert auf zwei lukrativen Monetarisierungsstrategien. Einerseits nutzen die Angreifer die Rechenleistung kompromittierter Server für das Mining von Kryptowährungen. Andererseits verwandeln sie infiltrierte Systeme durch Proxyjacking-Techniken in Proxy-Knoten und verkaufen den Zugang über Darknet-Marktplätze.
Angriffsvektoren und Infiltrationsmethoden
Laut Analysten von Cado Security exploitiert die Gruppe aktiv bekannte Schwachstellen in Selenium Grid als primären Angriffsvektor. Die umfassende Untersuchung von Solar 4RAYS zeigt jedoch, dass sich die Cyberkriminellen nicht auf eine einzige Schwachstelle beschränken, sondern verschiedene öffentlich zugängliche Dienste mit ungepatchten Sicherheitslücken ins Visier nehmen.
Besonders bemerkenswert sind die ausgeklügelten Verschleierungstechniken der Angreifer. Die Hacker ersetzen Standard-Systemdienstprogramme wie ps, pstree und pkill durch modifizierte Skripte, die bösartige Prozesse als legitime Systemaufgaben wie [kworker/u8:1-events_unbound] tarnen. Diese Vorgehensweise erschwert die Entdeckung durch Systemadministratoren erheblich.
Globale Verteilung und Angriffsstatistiken
Die geografische Verteilung der kompromittierten Server verdeutlicht den weltweiten Charakter der Operationen. Die höchste Anzahl infiltrierter Systeme wurde in den USA verzeichnet (16% aller Fälle), gefolgt von Deutschland (6%), Russland (4%), der Ukraine (4%) und Frankreich (4%). Diese Verteilung zeigt, dass geografische Faktoren für die Zielauswahl der Angreifer keine entscheidende Rolle spielen.
Cybersecurity-Experten klassifizieren Proxy Trickster als semi-professionelle Gruppe, die trotz kommerzieller Motivation komplexe Tools und Methoden einsetzt, die typischerweise bei Advanced Persistent Threat (APT)-Gruppen zu finden sind. Die mehrstufige Automatisierung der Angriffe und die Aufrechterhaltung langfristigen Zugangs zu kompromittierten Systemen schaffen Potenzial für schwerwiegendere Cyberattacken in der Zukunft.
Langfristige Bedrohungsszenarien
Die Aufrechterhaltung des Zugangs zu infiltrierten Servern durch die Cyberkriminellen stellt eine anhaltende Bedrohung für Hunderte von Organisationen weltweit dar. Die aufgebaute Infrastruktur kompromittierter Systeme könnte für komplexere Angriffe genutzt oder an andere Cyberkriminelle-Gruppen auf dem Schwarzmarkt verkauft werden.
Ivan Syukhin, Leiter der Incident Response-Abteilung bei Solar 4RAYS, betont die Bedeutung proaktiver Sicherheitsmaßnahmen: Organisationen sollten ihre Überwachung verstärken und bekannte Schwachstellen zeitnah schließen, um nicht zum nächsten Ziel von Proxy Trickster zu werden.
Die Entdeckung dieser neuen Cyber-Bedrohung unterstreicht die Notwendigkeit eines ganzheitlichen Ansatzes für die Informationssicherheit. Regelmäßige Software-Updates, kontinuierliche Netzwerküberwachung und die Implementierung von Intrusion Detection Systemen bleiben essenzielle Schutzmaßnahmen gegen derartige Angriffe. Unternehmen wird dringend empfohlen, ihre öffentlich zugänglichen Dienste zu auditieren und sicherzustellen, dass keine bekannten Vulnerabilitäten existieren, die von Cyberkriminellen für unbefugten Zugang ausgenutzt werden könnten.
