## Intro Das **Atos** Threat Research Center (TRC) identifizierte im März 2026 eine anspruchsvolle bösartige Kampagne. Diese Operation zielt auf professionelle Konten von Unternehmensadministratoren, DevOps-Ingenieuren und Sicherheitsanalysten mit hohen Berechtigungen ab, indem sie administrative Dienstprogramme imitiert. Durch die Integration von **Search Engine Order (SEO) Poisoning**, einer **zweistufigen GitHub-Verbreitungsarchitektur** und **dezentraler Blockchain-basierter Command-and-Control (C2)-Auflösung** haben Bedrohungsakteure einen hochgradig widerstandsfähigen Mechanismus für Verbreitung und Persistenz etabliert. ### Kreative Verbreitung über GitHub-Fassaden Die Kampagne nutzt eine mehrschichtige Verbreitungskette, die darauf ausgelegt ist, plattformweite Sperrungen zu umgehen und eine hohe Platzierung in Suchmaschinen aufrechtzuerhalten. Der Angriff beginnt mit **SEO Poisoning** auf verschiedenen Suchmaschinen, darunter **Bing**, **Yahoo**, **DuckDuckGo** und **Yandex**. Dies stellt sicher, dass bösartige Ergebnisse für Nischen-IT-Begriffe an der Spitze der Suchergebnisse erscheinen. Benutzer werden zunächst zu einem **primären "Fassade" GitHub-Repository** weitergeleitet. Diese Repositories sind für SEO optimiert, enthalten jedoch keinen bösartigen Code – nur eine professionell aussehende README-Datei. Um die operative Flexibilität zu wahren, enthält die README-Datei einen Link, der ein Opfer zu einem **zweiten, versteckten GitHub-Repository** leitet. Dies dient als eigentlicher Verbreitungspunkt für die Malware. Durch die Trennung des SEO-optimierten "Ladens" vom Konto, das die Payload liefert, können die Bedrohungsakteure ihre Verbreitungs-Repositories schnell austauschen, falls sie markiert werden, während die primäre, von Suchmaschinen indizierte Fassade aktiv und unberührt bleibt. ### Strategische Werkzeug-Imitation und Opferprofilierung Die Kampagne zeichnet sich durch ihren Fokus auf den **administrativen Stack** aus. Durch die Verbreitung von bösartigen MSI-Installern, die als Tools wie **PsExec**, **AzCopy**, **Sysmon**, **LAPS** und **Kusto Explorer** getarnt sind, führt der Angreifer eine automatisierte Opferprofilierung durch. Diese Dienstprogramme werden fast ausschließlich von Personal mit erhöhten Netzwerk- und Systemberechtigungen verwendet. Eine erfolgreiche Infektion auf der Workstation eines Administrators kann die "Schlüssel zum Königreich" liefern, was die laterale Bewegung innerhalb der Unternehmensumgebung erleichtern kann. ### Dezentrales Command and Control über Ethereum Der technisch bedeutendste Aspekt der Kampagne ist die Implementierung von **Blockchain-basiertem Dead Drop Resolving (DDR)**. Sobald die bösartige MSI-Datei ausgeführt wird, kontaktiert die Malware keine hartkodierte Domain oder IP-Adresse, die leicht blockiert werden könnte. Stattdessen initiiert die Malware wiederholt eine Abfrage an einen öffentlichen **Ethereum (ETH) RPC-Endpunkt**. Die Malware ist mit einer spezifischen **Smart Contract-Adresse** auf der Ethereum-Blockchain hartkodiert. Durch die Abfrage dieses Vertrags ruft die Malware dynamisch die Live-C2-Serveradresse ab. Diese Technik bietet dem Angreifer extreme Widerstandsfähigkeit: * **Infrastruktur-Agilität:** Der Angreifer kann C2-Server weltweit rotieren, indem er einfach den im Blockchain-Vertrag gespeicherten Wert aktualisiert. * **Robustheit:** Solange öffentliche Ethereum-Gateways zugänglich sind, kann die Malware immer ihr "Zuhause" finden, was traditionelle Domain-Sperr- oder Blockierungsversuche unwirksam macht. ## Analyse der Forschung Diese Forschung bietet eine umfassende technische Analyse der aktuellen Kampagne, basierend auf langfristiger Beobachtung und aktiver Detonation in einer kontrollierten Umgebung. Unsere Forschung geht über anfängliche Verbreitungsvektoren hinaus, um die ausgeklügelte Infrastruktur und das Verhalten nach der Ausnutzung zu untersuchen. Die folgenden Datenpunkte stellen die Kernmechanismen der Operation dar, einschließlich: * **Malware-Verbreitung:** Aufschlüsselung der zweistufigen GitHub-Repository-Architektur und der Nutzung von SEO-Poisoning zur Manipulation von Suchmaschinenergebnissen. * **Imitation administrativer Tools:** Ein detaillierter Blick auf die spezifischen administrativen Dienstprogramme, die imitiert werden, um die Kompromittierung von IT-Personal mit hohen Berechtigungen sicherzustellen. * **Malware-Logik:** Malware-Analyse der bösartigen MSI-Payloads, einschließlich ihrer anfänglichen Staging- und persistenten Komponenten. * **Dezentrale C2-Infrastruktur:** Untersuchung der Nutzung von Ethereum Smart Contracts und öffentlichen RPC-Gateways durch die Malware zur dynamischen Auflösung von Live Command and Control (C2)-Adressen. *HINWEIS: Während der Finalisierung der Forschung identifizierten wir eine vorläufige Warnung von **KISA** & KrCERT/CC bezüglich der Kampagne dieses Bedrohungsakteurs – [LINK](https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71998&menuNo=205020). Obwohl ihr anfänglicher Bericht frühe Einblicke bot, bestätigt unsere Längsschnittuntersuchung, dass die Kampagne weiterhin sehr aktiv ist und eine signifikante technische Reifung durchlaufen hat.* *Unsere Untersuchung bestätigt ferner, dass die Malware sich weiterentwickelt, wobei seit Beginn der Kampagne mehrere unterschiedliche Varianten und zusätzliche C2-Infrastrukturen identifiziert wurden.* > *Erfahren Sie mehr über die neuesten Bedrohungsintelligenz- und Adversary-Research-Erkenntnisse auf [Atos Cyber Shield Blogs.](https://atos.net/en/lp/cybershield)* ### Malware-Verbreitung Die untenstehende Visualisierung zeigt die zweistufige Verbreitungskette, bei der ein SEO-optimiertes Fassaden-Repository ahnungslose Benutzer zu einem sekundären GitHub-Konto weiterleitet, das die bösartige MSI hostet. Diese modulare Architektur ermöglicht es den Bedrohungsakteuren, ihre Suchmaschinenplatzierungen aufrechtzuerhalten, selbst wenn die einzelnen Payload-Lieferkonten gesperrt werden.  Der Einbruchslebenszyklus beginnt mit einer Suchanfrage über Bing (auch Yahoo, DuckDuckGo, Yandex) nach spezialisierten IT-Administrationswerkzeugen. Durch aggressives SEO-Poisoning stellen die Bedrohungsakteure sicher, dass das Fassaden-GitHub-Repository prominent unter den Top-Suchergebnissen erscheint. In diesem Fall wird ein Benutzer, der Kusto Explorer sucht – ein kritisches Werkzeug für Ingenieure und Analysten, die Azure Data Explorer über KQL abfragen –, zu einem nicht bösartigen "Storefront" geleitet, das darauf ausgelegt ist, anfängliches Vertrauen aufzubauen. <table><tbody><tr><td></td></tr><tr><td>Bing-Suche nach "kusto explorer"</td></tr></tbody></table> <table><tbody><tr><td></td></tr><tr><td>Bing-Suche nach "kusto explorer download"</td></tr></tbody></table> Das erste Repository, das der Benutzer öffnet, ist ein "Storefront", das das Zielwerkzeug imitiert. Dieses Fassaden-Repo ist absichtlich frei von Malware und dient nur als Gateway zur zweiten, bösartigen Stufe des Verbreitungsprozesses. Dank eines solchen Designs behält es eine hohe Platzierung in Suchmaschinen. Erstes GitHub-Repository – nur als Fassade verwendet <table><tbody><tr><td></td></tr></tbody></table>