Die gefürchtete APT-Gruppe Scaly Wolf ist mit einem erheblich erweiterten Arsenal zurückgekehrt und demonstriert dabei eine besorgniserregende Evolution ihrer Angriffsmethoden. Im Juni 2025 führten die Cyberkriminellen einen komplexen mehrstufigen Angriff auf ein russisches Maschinenbauunternehmen durch, wobei sie ihren neu entwickelten modularen Backdoor „Updatar“ mit einer innovativen Verschleierungstechnik einsetzten.
Strategische Weiterentwicklung der Angriffstaktiken
Diese jüngste Kampagne markiert eine bedeutende taktische Transformation der Scaly Wolf-Gruppe, die bereits 2023 ihre ersten Angriffe gegen Unternehmen des Maschinenbausektors startete. Besonders bemerkenswert ist der Strategiewechsel von kommerziellen Malware-as-a-Service-Lösungen hin zu maßgeschneiderten, proprietären Werkzeugen. Diese Entwicklung deutet auf gestiegene technische Kompetenz und Ressourcen der Angreifergruppe hin.
Die Verwendung selbst entwickelter Module anstelle von MaaS-Trojanern erschwert nicht nur die Erkennung durch herkömmliche Sicherheitslösungen, sondern ermöglicht auch eine präzisere Anpassung an spezifische Zielumgebungen.
Ausgeklügelte Phishing-Kampagne als Einstiegsvektor
Der Angriff begann bereits im Mai 2025 mit einer gezielten Phishing-Kampagne, die auf Finanzabteilungen abzielte. Die Angreifer nutzten dabei ausgefeilte Social-Engineering-Techniken, indem sie PDF-Köder mit vermeintlichen Finanzinformationen in passwortgeschützten ZIP-Archiven versendeten.
Besonders perfide war die Verwendung der Double-Extension-Technik: Ausführbare Dateien erhielten Bezeichnungen wie „Rechnung.pdf.exe“. Da Windows standardmäßig bekannte Dateierweiterungen ausblendet, sahen die Opfer nur die harmlos wirkende „.pdf“-Endung und öffneten arglos die schädlichen Dateien.
Technische Analyse des Updatar-Backdoors
Das Herzstück der Attacke bildete Trojan.Updatar.1, ein speziell entwickelter Loader für den modularen Backdoor. Obwohl erste Exemplare bereits vor einem Jahr entdeckt wurden, war eine vollständige Analyse bisher unmöglich, da zusätzliche Module nur manuell von den Angreifern nachgeladen wurden.
RockYou-Verschleierungssystem erschwert Analyse
Die neueste Version implementiert eine einzigartige Anti-Analyse-Technik namens „RockYou Obfuscation“. Diese innovative Methode nutzt die berühmte RockYou.txt-Passwortliste mit über 30 Millionen Einträgen zur Generierung von Dummy-Operationen, die Reverse-Engineering-Versuche erheblich erschweren. Kritische Codeabschnitte werden zusätzlich mittels XOR-Verschlüsselung mit individuellen Schlüsseln pro Malware-Exemplar geschützt.
Chronologie der mehrstufigen Kompromittierung
Die Angreifer folgten einem präzise orchestrierten Zeitplan: Am 12. Mai 2025 erfolgte die Erstinfektion, bereits eine Stunde später wurden die Komponenten Trojan.Updatar.2 und Trojan.Updatar.3 nachgeladen. Bis zum 14. Mai hatten die Cyberkriminellen über den Windows BITS-Dienst das Meterpreter-Framework aus der Metasploit-Suite installiert.
Zur Extraktion von Anmeldedaten setzten sie Tool.HandleKatz ein, welches Speicherabbilder des LSASS-Prozesses erstellt. Die erbeuteten Zugangsdaten ermöglichten die Installation von RDP Wrapper für persistenten Fernzugriff sowie Tunneling-Tools wie Tool.Chisel und Tool.Frp.
Lateral Movement und Umgehung von Sicherheitsmaßnahmen
Bei der Ausbreitung auf weitere Systeme demonstrierte die Gruppe bemerkenswerte Anpassungsfähigkeit. Konfrontiert mit Antivirus-Blockaden, wechselten die Angreifer zu manuellen Installationsmethoden und alternativen Persistenzmechanismen.
Auf dem dritten kompromittierten System nutzten sie gestohlene RDP-Credentials und versuchten, Sicherheitslösungen mittels verschachtelter PowerShell-Skripts mit Base64-Kodierung zu umgehen. Nach erfolgloser Blockade griffen sie auf das RemCom-Tool zurück und starteten Reconnaissance-Aktivitäten zur Identifizierung der installierten Sicherheitssoftware.
Organisationen sollten diese Entwicklungen als Weckruf verstehen und ihre Verteidigungsstrategien entsprechend anpassen. Eine Kombination aus verbesserter E-Mail-Security, EDR-Lösungen zur Anomalieerkennung und regelmäßigen RDP-Sicherheitsaudits bildet die Grundlage effektiver Schutzmaßnahmen. Besonders wichtig bleibt die Sensibilisierung der Mitarbeiter für ausgeklügelte Phishing-Techniken wie die Double-Extension-Methode, um solche fortgeschrittenen Bedrohungen erfolgreich abzuwehren.
