Am 7. Mai 2025 berichtete das Threat Intelligence-Team von Google, dass COLDRIVER, eine russisch gestützte Spionagegruppe, einen neuen Malware-Stamm namens „LOSTKEYS“ entwickelt hat. Diese Malware markiert einen Übergang von traditionellen Phishing-Taktiken zu fortschrittlichen Cyberangriffen.
Hauptmerkmale der LOSTKEYS-Malware:
Datenexfiltration: LOSTKEYS ist darauf ausgelegt, Dateien aus bestimmten Dateitypen und Verzeichnissen infizierter Systeme zu stehlen.
Systemüberwachung: Die Malware sammelt detaillierte Systeminformationen und überwacht laufende Prozesse, die an COLDRIVER-Server gesendet werden.
Ausgereifte Verbreitung:
Eine Köderwebsite zeigt dem Benutzer ein gefälschtes CAPTCHA.
Ein PowerShell-Skript wird in die Zwischenablage des Benutzers geladen.
Das Skript führt die Ladeoperation durch und zieht den endgültigen Payload nach.
Die Malware wird im System installiert.
Google hat die IP-Adresse „165.227.148[.]68“ mit dieser bösartigen Aktivität in Verbindung gebracht und die betroffenen Websites in die Safe Browsing-Funktion aufgenommen.
Hintergrund zu COLDRIVER:
COLDRIVER, auch bekannt als Blue Callisto, BlueCharlie und Star Blizzard, ist seit mindestens 2019 aktiv. Die Gruppe steht in Verbindung mit dem russischen Inlandsgeheimdienst FSB und richtet sich gegen bedeutende westliche Einzelpersonen und Organisationen, darunter NATO-Partner, NGOs und Journalisten, um Informationen zu sammeln.
Anfang 2025 zielte COLDRIVER auf Berater westlicher Regierungen, Militärangehörige und Personen mit Verbindungen zur Ukraine ab. Bereits 2022 war die Gruppe für Angriffe auf drei US-Kernforschungslabore verantwortlich und leakte E-Mails des ehemaligen britischen Geheimdienstchefs Richard Dearlove sowie von Pro-Brexit-Persönlichkeiten.
Folgen:
Die Einführung von LOSTKEYS verdeutlicht die zunehmende Bedrohung durch staatlich unterstützte Cyberakteure. Organisationen, insbesondere in Regierungs- und Nichtregierungssektoren, sollten ihre Cybersicherheitsmaßnahmen verstärken, wachsam gegenüber Phishing-Versuchen bleiben und ihre Systeme aktuell halten.