Suche Suche

APT37 schlägt zu: Neue Rust-Backdoor gefährdet südkoreanische Nutzer!

Transparenz: Redaktionell erstellt und geprüft.
Veröffentlicht am
Impressum · Kontakt · Redaktionskodex

APT37 nutzt die neue Rust-basierte Backdoor „Rustonotto“ für zielgerichtete Angriffe auf Windows-Systeme in Südkorea.

APT37 nutzt die neue Rust-basierte Backdoor „Rustonotto“ für zielgerichtete Angriffe auf Windows-Systeme in Südkorea.
APT37 nutzt die neue Rust-basierte Backdoor „Rustonotto“ für zielgerichtete Angriffe auf Windows-Systeme in Südkorea.

In der dynamischen Welt der Cybersicherheit sorgt eine neue Angriffswelle für Aufregung: Die nordkoreanische APT-Gruppe APT37, auch bekannt als LScarCruft, Ruby Sleet oder Velvet Chollima, hat ihr Arsenal an Malware erheblich erweitert. Besonders ins Auge sticht eine neue, auf der Programmiersprache Rust basierende Backdoor mit dem Namen „Rustonotto“, die gezielt Windows-Systeme angreift. Diese Informationen hat Security Insider veröffentlicht.

Die Angriffsmuster von APT37 wurden vor allem in Südkorea verzeichnet. Bei diesen Attacken werden schadhafte Windows-Verknüpfungen oder Compiled HTML Help (CHM)-Dateien als Einstieg genutzt. Sämtliche Aktivitäten laufen über einen einzigen Command-and-Control-Server, sodass die Angreifer die Kontrolle über die infiltrierten Systeme behalten. Die Bedrohungsanalysen von Zscaler’s ThreatLabz zeigen deutlich, dass Rustonotto seit Juni 2025 aktiv ist und die erste bekannte Rust-basierte Malware dieser Gruppe darstellt.

Singularer Zugriff und ausgeklügelte Techniken

Die Angriffe scheinen nicht gegen Unternehmen oder staatliche Stellen gerichtet zu sein, sondern zielen vielmehr auf Einzelpersonen ab, die Verbindungen zum nordkoreanischen Regime oder zu sensiblen politischen Angelegenheiten in Südkorea haben. Dabei setzt APT37 eine Kombination aus mehreren Malware-Komponenten ein, darunter das Monitoring-Tool „FadeStealer“, das nicht nur Tastenanschläge erfasst, sondern auch Screenshots anfertigt und Audiodaten aufnimmt. Diese Daten werden dann in passwortgeschützte RAR-Archive komprimiert und an den C2-Server übertragen. Sicherheitsanalysen zeigen, dass die Kompromittierung durch Nutzung der AntiDetection-Maßnahmen wie Transactional NTFS und Process Doppelgänging erfolgt, was die Entdeckung der Malware zusätzlich erschwert, wie Cyberpress erläutert.

Ein geplanter Task, der als „MicrosoftUpdate“ getarnt ist, führt regelmäßig die Rustonotto-Payload aus und sichert somit einen dauerhaften Zugriff auf betroffene Systeme. Die Malware nutzt eine Kombination von Codetechniken, um ihre Spuren zu verwischen und die Überwachung zu beeinflussen.

APTs und ihre Ziele

Bereits seit längerer Zeit beobachtet das BSI (Bundesamt für Sicherheit in der Informationstechnik) die Aktivitäten solcher Angriffsteams. In ihren Berichten dokumentieren sie die strategischen Ziele dieser Gruppen, die sich über die Zeit ändern können. Die aktuelle Bedrohungslage wird durch die langfristig operierenden Angreifergruppen geprägt, die spezifische Interessen verfolgen, wobei APT37 eine wichtige Rolle spielt, und die auf das Sammeln von Informationen abzielt, wie in BSI festgehalten wird.

Die Angreifer agieren dabei oft in einer rechtlichen Grauzone, was ihre Aktivitäten besonders brisant macht. Mit Technologien wie modernen Programmiersprachen und ausgeklügelten Injektionsmethoden hat sich APT37 nicht nur als bedrohlich, sondern auch als extrem anpassungsfähig erwiesen. Unternehmen und Einzelpersonen sind daher aufgefordert, ihre Cybersicherheitsstrategien zu überdenken und bestehende Systeme regelmäßig auf Anzeichen von Kompromittierung zu überprüfen.

Die Welt der Cyberbedrohungen ist schlüpfrig und ständig im Wandel – ein Ohr auf den Schienen der Gefahrenlage kann also nicht schaden!