Die Hackergruppe konzentrierte sich primär auf russische Bildungseinrichtungen: Mehr als die Hälfte aller beobachteten Angriffe zielten auf maritime Universitäten und Schulen ab, die Personal für Russlands Schifffahrts-, Binnenschifffahrts- und Fischereiindustrie ausbilden. Daneben attackierten die Cyberkriminellen auch Organisationen aus dem Energiesektor, diplomatische Einrichtungen, Regierungsbehörden und Finanzinstitutionen.
Die technische Vorgehensweise war dabei relativ konventionell, aber effektiv: Die Angreifer verschickten Phishing-E-Mails mit ZIP-Archiven, in denen sich eine als legitime Microsoft-Excel-Konfigurationsdatei getarnte Malware verbarg. Beim Öffnen startete nicht nur Excel, sondern auch die Ausführung bösartigen Codes – ein bewährtes Einfallstor für Anfänger und Profis gleichermaßen.
Das Ravage-Framework, das seit Januar 2025 bei den jüngsten Angriffsaktivitäten zum Einsatz kommt, bietet Angreifern umfangreiche Funktionalität: Das Tool ermöglicht das Hochladen und Herunterladen von Dateien, das Kopieren und Löschen von Inhalten, die Ausführung von Befehlen, das Starten von Prozessen und die Aufnahme von Screenshots aus kompromittierten Systemen – ein vollständiges Toolkit für Post-Compromise-Aktivitäten.
Besonders bemerkenswert ist die Tatsache, dass Kaspersky nicht offenlegt, welche Post-Compromise-Aktivitäten tatsächlich beobachtet wurden. Dies könnte bedeuten, dass die Angreifer Daten exfiltrierten, Systeme sabotierten oder weitere Malware einschleusten – das genaue Schadensausmaß bleibt unklar.
Kaspersky hat die Kampagne keiner bekannten Gruppe zugeordnet und äußerte sich nicht zur Motivation oder zum Ursprungsland der Angreifer. Dies ist typisch für einen frühen Analysezustand, könnte aber auch darauf hindeuten, dass die Gruppe ihre Spuren bewusst verwischt. Für deutsche Institutionen ist dies eine Erinnerung daran, dass Phishing-Mails und Office-Dateien auch weiterhin hocheffektive Angriffsvektoren darstellen – regelmäßige Schulungen und technische Kontrollen bleiben unverzichtbar.