Ein gezielter Supply-Chain-Angriff auf den Update-Server des Antivirenherstellers eScan hat im Januar 2026 eindrücklich gezeigt, wie verwundbar selbst Sicherheitsprodukte sind. Angreifer kompromittierten einen regionalen Update-Cluster des indischen Herstellers MicroWorld Technologies und verteilten über diesen Kanal manipulierte Updates an einen Teil der Kundschaft.
Supply-Chain-Angriff auf MicroWorld/eScan: Ablauf und erste Reaktion
Nach Angaben von MicroWorld wurde am 20. Januar 2026 anomales Verhalten in der Update-Infrastruktur festgestellt. Betroffen war ein einzelner regionaler Server, über den in einem begrenzten Zeitraum manipulierte Pakete ausgeliefert wurden. Nur Systeme, die genau in diesem Zeitfenster diesen Cluster kontaktierten, erhielten das schädliche Update.
Der Anbieter isolierte den betroffenen Server nach eigenen Aussagen sofort, nahm ihn aus dem Netz und setzte die Infrastruktur in dem Segment komplett neu auf. Sämtliche Zugangsdaten wurden ausgetauscht, Konfigurationen neu erstellt und die Update-Umgebung gehärtet, um einen erneuten unautorisierten Zugriff zu verhindern.
Parallel veröffentlichte MicroWorld ein spezielles Bereinigungstool für betroffene Kunden. Diese Utility soll kompromittierte Komponenten erkennen, entfernen, die Update-Funktion des Produkts reparieren und am Ende einen Neustart der Systeme erzwingen, um die Bereinigung abzuschließen.
Technische Analyse: Wie die kompromittierten eScan-Updates missbraucht wurden
Das Sicherheitsunternehmen Morphisec klassifizierte den Vorfall als kritische Kompromittierung der Software-Lieferkette. Den Analysen zufolge erhielten die Angreifer Zugriff auf die Konfiguration des regionalen Update-Servers und ersetzten mindestens eine legitime Update-Datei durch eine präparierte, bösartige Komponente.
Im Zentrum stand eine manipulierte Variante von Reload.exe, einem eScan-Bestandteil. Die Datei war zwar mit einem eScan-Zertifikat signiert, doch sowohl Windows als auch VirusTotal erkannten die Signatur als ungültig. Das illustriert ein wichtiges Prinzip: Eine digitale Signatur ist kein Sicherheitsgarant, wenn das zugehörige Zertifikat kompromittiert wurde oder unsachgemäß eingesetzt wird. Sicherheitsverantwortliche sollten Signaturfehler daher immer als starken Verdachtsmoment werten.
Reload.exe: Persistenz, HOSTS-Manipulation und C2-Kommunikation
Nach Morphisecs technischen Details diente die manipulierte Reload.exe vor allem der Persistenz und Fernsteuerung. Die Komponente ermöglichte das Ausführen beliebiger Befehle durch die Angreifer und veränderte die Windows-Systemdatei HOSTS. Dort wurden Einträge ergänzt, die Verbindungen zu den offiziellen eScan-Update-Servern blockierten.
Diese HOSTS-Manipulation hatte zwei Effekte: Zum einen konnten betroffene Systeme keine sauberen Signaturupdates mehr laden, zum anderen wurde die Erkennung und Behebung der Kompromittierung erheblich erschwert, weil korrigierende Updates den betroffenen Clients gar nicht erst angeboten wurden. Zusätzlich nahm die Malware Kontakt zu einer Command-and-Control-(C2)-Infrastruktur auf, von der sie weitere Nutzlasten nachladen konnte.
CONSCTLX.exe: Vollwertiger Backdoor als finaler Payload
Als finaler Payload wurde die Datei CONSCTLX.exe beobachtet – ein vollwertiger Backdoor, der als dauerhafter Loader fungierte. Um seine Präsenz im System zu sichern, legte die Malware geplante Aufgaben (Scheduled Tasks) mit unauffälligen Namen wie „CorelDefrag“ an. Solche getarnten Tasks sind bei nur oberflächlicher Administration schwer zu erkennen und ermöglichen den Angreifern langfristigen Zugriff.
Indikatoren einer Kompromittierung bei eScan-Nutzern
Kunden, die über den betroffenen Cluster Updates bezogen, konnten verschiedene Symptome feststellen. Dazu zählen Fehler der Update-Komponente, wiederkehrende Hinweise auf nicht erreichbare Update-Server, ausbleibende Aktualisierung der Virensignaturen sowie unerwartete Änderungen in der HOSTS-Datei. Das gleichzeitige Auftreten mehrerer dieser Anzeichen sollte stets als dringliches Warnsignal verstanden und mit einer forensischen Prüfung verbunden werden.
MicroWorld vs. Morphisec: Streit um die Erstentdeckung
Rund um den Vorfall entstand ein öffentlicher Disput zwischen MicroWorld und Morphisec. Während Morphisec in seinem Bericht suggeriert, die Attacke als erster entdeckt und offengelegt zu haben, widerspricht MicroWorld dieser Darstellung. Laut Aussagen gegenüber The Register seien die Anomalien bereits intern und über Kundenmeldungen identifiziert worden, bevor Morphisec in Kontakt trat.
MicroWorld betont zudem, betroffene Kunden proaktiv über mehrere Kanäle – darunter E-Mail, WhatsApp, Telefon und Support-Portal – informiert zu haben. Das Unternehmen kündigte an, rechtliche Schritte gegen nach eigener Einschätzung „falsche technische Behauptungen“ in der Morphisec-Publikation zu prüfen. Unabhängig vom Kommunikationskonflikt zeigt der Fall, wie wichtig transparente und zeitnahe Informationen in Sicherheitsvorfällen sind.
Einordnung: eScan-Vorfall im Kontext wachsender Supply-Chain-Angriffe
Der Angriff reiht sich in einen klaren Trend ein: Supply-Chain-Angriffe auf Softwareanbieter nehmen seit Jahren massiv zu. Die europäische Cybersicherheitsagentur ENISA berichtete bereits 2021 von einer Vervierfachung solcher Angriffe im Vergleich zu 2020. Prominente Beispiele sind der SolarWinds-Vorfall oder der kompromittierte CCleaner-Installer, über die weltweit Tausende Systeme infiziert wurden.
Besonders kritisch sind Angriffe auf Sicherheitsprodukte selbst. Nutzer bringen Antiviren- und EDR-Lösungen ein hohes Grundvertrauen entgegen und akzeptieren automatische Updates meist ohne zusätzliche Prüfung. Für Angreifer ist ein kompromittierter Sicherheitsanbieter deshalb ein idealer Hebel, um Zugriff auf ansonsten gut geschützte Unternehmensnetzwerke zu erlangen.
Hinzu kommt, dass die Update-Infrastruktur von eScan bereits zuvor im Fokus stand: 2024 nutzten laut offenen Analysen nordkoreanische Gruppen die eScan-Updatekette zur Verbreitung des Schadprogramms GuptiMiner, mit dem Backdoors und Kryptominer in Unternehmensnetze eingeschleust wurden. Der aktuelle Vorfall unterstreicht den anhaltenden strategischen Wert dieses Angriffsvektors.
Praxisempfehlungen: Wie Unternehmen und Anwender das Risiko senken
Organisationen, die eScan einsetzen, sollten sicherstellen, dass alle Systeme auf dem aktuellen Patchstand sind und das von MicroWorld bereitgestellte Bereinigungstool ausgeführt wurde. Es empfiehlt sich, die HOSTS-Datei manuell zu prüfen, geplante Aufgaben auf ungewöhnliche oder unbekannte Einträge hin zu kontrollieren und nach unbekannten ausführbaren Dateien wie verdächtigen „*.exe“-Komponenten zu suchen.
Auf strategischer Ebene sollten Unternehmen ihre Abhängigkeit von Lieferanten-Updates kritisch hinterfragen. Sinnvolle Maßnahmen zur Härtung gegen Supply-Chain-Angriffe umfassen unter anderem:
Zusätzliche Kontrollebenen: Der Einsatz von EDR-Lösungen und verhaltensbasierter Analyse ergänzend zum klassischen Antivirus erhöht die Chance, verdächtige Aktivitäten trotz signierter Binärdateien zu erkennen.
Umfassendes Logging und Auditing: Sämtliche Änderungen an Update-Servern, Proxies und Verteilinfrastruktur sollten detailliert geloggt und regelmäßig ausgewertet werden.
Integritätsüberwachung kritischer Dateien: Dazu zählen insbesondere HOSTS, System-Binaries und sicherheitsrelevante Komponenten. File-Integrity-Monitoring kann hier frühzeitig Manipulationen sichtbar machen.
Prinzip der geringsten Privilegien und Segmentierung: Update-Infrastruktur sollte strikt von anderen Netzwerksegmenten getrennt werden. Zugriffe auf Konfigurations- und Signatur-Schlüssel sind auf das absolut Notwendige zu beschränken.
Letztlich macht der Angriff auf den eScan-Update-Server deutlich, dass Vertrauen in die Software-Lieferkette aktiv gemanagt werden muss. Unternehmen sollten automatische Updates nicht unreflektiert als „sicher per Design“ betrachten, sondern sie in ein übergreifendes Risikomanagement, technisches Monitoring und klare Incident-Response-Prozesse einbetten. Wer diese Lehren frühzeitig umsetzt, reduziert nicht nur das Risiko ähnlicher Vorfälle, sondern stärkt insgesamt seine Cyberresilienz.
