Ein von Forschern der Kaspersky Lab analysiertes Botnet mit dem Namen Tsundere zeigt, wie weitreichend Cyberkriminelle inzwischen Web3-Technologien missbrauchen. Die Angreifer kompromittieren vor allem Windows-Systeme über gefälschte Spiele-Installer und steuern das Botnet über Ethereum-Smart-Contracts statt über klassische Command-and-Control-Server (C2). Diese Kombination erhöht die Ausfallsicherheit der Infrastruktur und erschwert Verteidigern das Tracking und die Abschaltung erheblich.
Neues Windows-Botnet Tsundere: Zielregionen und Opferprofil
Aktuell konzentriert sich Tsundere vor allem auf Lateinamerika, mit Schwerpunkten in Mexiko und Chile. Telemetriedaten deuten darauf hin, dass das Botnet gezielt versucht, Systeme im postsowjetischen Raum zu meiden. Dennoch wurden bereits einzelne Infektionen in Russland und Kasachstan beobachtet. Eine derartige regionale Filterung ist typisch für Gruppen, die rechtliche Risiken im eigenen Sprach- und Rechtsraum minimieren wollen.
Im Fokus stehen in erster Linie Privatanwender und Gamer, die Spiele von inoffiziellen Quellen herunterladen. Die Malware tarnt sich als Installer beliebter Online-Titel wie Valorant, CS2 oder R6x. Wer diese vermeintlichen Setups aus für Nutzer „vertrauten“ Download-Portalen oder Piraterie-Angeboten startet, installiert in Wahrheit den Tsundere-Implant auf seinem System.
Infektionskette: MSI-Pakete, PowerShell-Skripte und dauerhafte JavaScript-Ausführung
Die Angreifer setzen vor allem auf zwei Distributionsformate: MSI-Installer und PowerShell-Skripte. Beide Varianten werden automatisiert erzeugt und so gestaltet, dass sie für den Nutzer möglichst unauffällig wirken. Nach der Ausführung wird ein Implant installiert, das im Hintergrund den eigentlichen Bot nachlädt.
Der Bot selbst ist fähig, beliebigen JavaScript-Code kontinuierlich auszuführen, den er von der C2-Infrastruktur erhält. Die Kommunikation erfolgt über das Protokoll WebSocket, das eine bidirektionale, nahezu in Echtzeit arbeitende Verbindung ermöglicht. So können die Betreiber Angriffslogik, Module und Befehle dynamisch anpassen, ohne den Schadcode auf den Endgeräten neu verteilen zu müssen – ein deutlicher Vorteil gegenüber statischen Malware-Kampagnen.
Web3-C2-Infrastruktur: Steuerung des Botnet über Ethereum-Smart-Contracts
Das technische Alleinstellungsmerkmal von Tsundere ist die Nutzung von Ethereum-Smart-Contracts als Konfigurationsspeicher für C2-Server. Anstatt feste Domains oder IP-Adressen zu hinterlegen, speichern die Angreifer verschlüsselte Konfigurationsdaten innerhalb eines Smart-Contracts in der Ethereum-Blockchain.
Um die Adresse des aktuellen C2-Servers zu ändern, führen die Betreiber Transaktionen mit 0 ETH gegen den Contract aus und aktualisieren eine Statusvariable, in der der neue WebSocket-Endpunkt hinterlegt ist. Die infizierten Bots fragen regelmäßig öffentliche Ethereum-RPC-Knoten ab, analysieren einschlägige Transaktionen und extrahieren daraus die jeweils gültige C2-Adresse. Wird ein Server abgeschaltet oder blockiert, kann das Botnet sich nahezu automatisch auf einen alternativen Endpoint umstellen.
Warum Blockchain die Abschaltung von Tsundere so schwierig macht
Blockchain-basierte C2-Infrastrukturen gelten als besonders widerstandsfähig gegen Zensur und Abschaltung. Einmal geschriebene Daten in einem Smart-Contract lassen sich praktisch nicht mehr nachträglich löschen oder manipulieren. Gleichzeitig ist das Ethereum-Netzwerk dezentral organisiert und keiner einzelnen Instanz unterstellt.
Für Verteidiger bedeutet dies, dass klassische Gegenmaßnahmen wie das Sperren von Domains oder Hosting-Providern nicht ausreichen. Stattdessen müssen Blockchain-Analysen, Monitoring von Smart-Contract-Interaktionen und Korrelation mit Netzwerkereignissen auf den Endpunkten in bestehende Sicherheitsprozesse integriert werden – ein Aufwand, auf den viele Organisationen noch nicht vorbereitet sind.
Verbindung zu npm-Typosquatting und dem Info-Stealer 123 Stealer
Analysen legen nahe, dass Tsundere Teil einer breiteren kriminellen Toolchain ist. Bereits im Oktober 2024 wurde eine Kampagne entdeckt, bei der Angreifer Schadpakete für Node.js im offiziellen npm-Repository platzierten. Insgesamt wurden 287 Pakete identifiziert, deren Namen beliebte Bibliotheken wie Puppeteer oder Bignum.js um ein bis zwei Zeichen variierten – eine bekannte Technik namens Typosquatting.
Entwickler, die versehentlich diese Pakete installierten, integrierten damit unbemerkt schadhaften JavaScript-Code in ihre Anwendungen. Infrastruktur- und Code-Analysen zeigen Überschneidungen zwischen dieser npm-Kampagne, dem Botnet Tsundere und dem Info-Stealer 123 Stealer, der auf Untergrundforen kursiert. Gemeinsam genutzte Komponenten und Überschneidungen bei den genutzten Servern deuten auf einen Akteur hin, der sich in der Szene unter dem Alias koneko bewegt und sich auf Node.js-basierte Malware spezialisiert hat.
Herkunft der Angreifer, Bedrohungslage und moegliche Einsatzszenarien
Sprachliche Artefakte im Code sowie die bewusste Aussparung vieler Systeme im GUS-Raum lassen darauf schließen, dass es sich um russsichsprachige Entwickler handelt. Vollständig ausgeschlossen sind Infektionen in diesem Gebiet jedoch nicht, wie die verzeichneten Fälle in Russland und Kasachstan zeigen.
Die Fähigkeit des Bots, beliebigen JavaScript-Code nachzuladen, eröffnet ein breites Spektrum an Einsatzzwecken: von Datendiebstahl und Credential-Harvesting über die Nachinstallation weiterer Malware-Familien bis hin zu DDoS-Angriffen und verdecktem Kryptomining. Die schnelle Anpassungsfähigkeit der Infrastruktur lässt erwarten, dass die Betreiber das Botnet fortlaufend erweitern und für verschiedene monetarisierbare Straftaten einsetzen.
Praxisnahe Schutzmassnahmen gegen Web3-Botnets wie Tsundere
Um das Risiko einer Infektion durch Tsundere oder ähnlich aufgebaute Web3-Botnets zu reduzieren, sollten Unternehmen und Privatanwender mehrere Ebenen der Abwehr kombinieren:
1. Nur vertrauenswürdige Quellen nutzen: Spiele, Software und Updates ausschliesslich von offiziellen Herstellerseiten, etablierten Plattformen und legitimen Launchern beziehen. „Repacks“, Cracks und Torrents sind ein zentraler Infektionsvektor.
2. Installer prüfen: Auf valide digitale Signaturen achten und misstrauisch werden, wenn Installer unerwartet hohe Rechte anfordern oder Sicherheitswarnungen auslösen.
3. PowerShell und MSI absichern: In Unternehmensumgebungen PowerShell per least-privilege-Policy, Signaturpflicht und umfassendem Logging kontrollieren. MSI-Ausführung gegebenenfalls auf signierte Pakete beschränken.
4. Netzwerkverkehr analysieren: Sicherheitslösungen einsetzen, die anormale WebSocket-Kommunikation, verdächtige PowerShell-Nutzung und Verbindungen zu auffälligen Web3- beziehungsweise Ethereum-RPC-Endpunkten erkennen und blockieren können.
5. Abhaengigkeiten sorgfaeltig prüfen: Entwickler sollten Paketnamen in npm und anderen Repositories genau überprüfen, Security-Scanner für Abhängigkeiten nutzen und auf Warnungen zu Typosquatting und kompromittierten Paketen reagieren.
Tsundere verdeutlicht, wie schnell sich Cyberkriminalität an neue Technologieparadigmen wie Web3 anpasst und daraus robuste, schwer zu kontrollierende Infrastrukturen aufbaut. Wer seine digitale Resilienz stärken will, sollte klassische Endpoint- und Netzwerk-Sicherheit mit einem Bewusstsein für Blockchain-Missbrauch, strengere Software-Beschaffungsprozesse und kontinuierliche Sicherheitsaufklärung verbinden – sowohl im Unternehmen als auch im privaten Umfeld.
