Die Kampagne zeigt eine bemerkenswerte technische Raffinesse und strategische Geduld. Zwischen Dezember 2025 und April 2026 wurden 44 separate GitHub-Fassaden registriert, die unterschiedliche administrativen Tools imitieren. Die Täter nutzen eine bewährte psychologische Komponente: Sicherheitsfachleute, die ein Diagnose-Tool wie Process Explorer oder TCPView suchen, landen unwissentlich auf manipulierten Seiten und laden sich ein MSI-Installationspaket herunter – vermeintlich von einer vertrauenswürdigen Quelle.
Die Malware selbst ist ein mehrstufiges fileless Remote Access Trojan (RAT), geschrieben in JavaScript und etwa 4,7 MB groß. Nach der Ausführung wird zunächst Node.js von nodejs.org heruntergeladen, dann erfolgt eine vierstufige Infektionskette: Ein obfuskiertes CMD-Batch-Skript startet einen Node.js-Prozess, der ein verschlüsseltes Payload liest und in den Speicher lädt. Anschließend wird eine Zwischenstufe ausgeführt, die das Hauptpayload entschlüsselt und persistente Registry-Einträge erstellt. Das Hauptpayload – die eigentliche RAT-Komponente – läuft in einem disguisierten conhost.exe-Prozess und nutzt AES-256-CBC-Verschlüsselung.
Das technisch bedeutsamste Merkmal ist die Blockchain-basierte Dead-Drop-Resolver (DDR) Technik. Statt hardcodierte IP-Adressen zu nutzen, fragt die Malware regelmäßig eine Ethereum-Smart-Contract ab – im vorliegenden Fall 0xc12c8d8f9706244eca0acf04e880f10ff4e52522. Sie kontaktiert neun öffentliche Ethereum-RPC-Endpunkte parallel und vertraut der Mehrheitsantwort. Dies ermöglicht dem Angreifer, die C2-Adresse jederzeit durch eine einzelne Blockchain-Transaktion zu ändern – ohne die bereits installierten Malware-Kopien zu modifizieren.
Die Sicherheitsforschung verbindet diese Kampagne mit der nordkoreanischen Lazarus Group und der iranischen MuddyWater-Gruppe (APT34). Beide haben ähnliche EtherHiding-Module in ihren Malware-Varianten implementiert. Dies deutet auf ein Teilen von Exploits oder sogar koordinierte Aktivitäten hin.
Nach der initialen Infizierung zeigen die Angreifer operative Geduld. Sie führen keine aggressiven Netzwerk-Scans durch, sondern erkunden die Umgebung methodisch und diskret, um Hochrechte-Konten zu identifizieren. Diese Verhaltensweise unterscheidet sie von gewöhnlicher Ransomware oder Stealer-Malware und deutet auf langfristige Persistenz als Ziel hin.
Deutsche Unternehmen sollten sofort Maßnahmen ergreifen: Mitarbeiter trainieren, GitHub-Downloads verifizieren, MSI-Installationen von verdächtigen Quellen blockieren. Das BSI empfiehlt zudem, Process Monitoring zu intensivieren und Node.js-Prozesse ungewöhnlicher Herkunft zu überwachen. Bei Verdacht auf Infektionen besteht Meldepflicht gegenüber dem BfDI (Bundesbeauftragter für Datenschutz und Informationsfreiheit), da administrativer Zugriff potenziell flächendeckende Datenschutzverletzungen ermöglicht.