Im Fall von SHADOW-EARTH-066 sieht Trend Micro eine klare Veränderung der bisherigen Taktik. Die Gruppe hatte früher Excel-Makro-Dropper verwendet, um den Informationsdieb GIFTEDCROOK zu verbreiten. In der aktuellen Variante kommen präparierte RAR-Archive zum Einsatz, die ein PDF-Köderdokument sowie drei versteckte ADS-Nutzlasten enthalten, die außerhalb des Entpack-Verzeichnisses abgelegt werden.

Zu dieser Kette gehört eine Windows-Verknüpfungsdatei im LNK-Format, die im Autostart-Ordner landet und dadurch bei jeder Anmeldung eines Nutzers automatisch ausgeführt wird. Von dort startet sie über „cmd.exe“ einen PowerShell-Loader, der per In-Memory-Laden einer DLL schließlich eine aktualisierte Version von GIFTEDCROOK mit dem Namen „result.dll“ ausführt.

Die Schadsoftware hat es laut Trend Micro auf Passwörter und Cookies aus Chromium-basierten Browsern wie Google Chrome, Microsoft Edge und Opera sowie aus Mozilla Firefox ab. Zusätzlich sammelt sie Dokumente mit bestimmten Dateiendungen vom kompromittierten System ein. Nachdem die Daten an einen externen Server exfiltriert wurden, löscht die Malware sämtliche schädlichen Artefakte, um forensische Spuren zu verwischen.

Auffällig ist dabei auch ein Wechsel beim Abfluss der gestohlenen Daten. Statt Telegram als Exfiltrationskanal setzt die Gruppe nun auf dedizierte Command-and-Control-Server. Trend Micro bewertet das als wichtige Anpassung, die wahrscheinlich mit der Blockierung der Messaging-Plattform in Russland zu Beginn dieses Februars zusammenhängt.

Als zweite Russland-affinierte Gruppe, die CVE-2025-8088 bewaffnet hat, nennt Trend Micro Earth Dahu. Die Gruppe habe die Schwachstelle seit mindestens September 2025 in ihr Arsenal aufgenommen. Earth Dahu ist nach Angaben der Sicherheitsfirma für einen „industriell angelegten“ Ansatz bekannt, um langfristigen Zugriff auf kompromittierte Organisationen aufrechtzuerhalten.

Trend Micro zufolge nutzte Earth Dahu die Lücke in einer HTA-zu-VBScript-Infektionskette, die Spionagemodule auslieferte. Anhand interner Zeitstempel in den RAR-Dateien und der Dateibenennung sei diese Kette mindestens bis zum 10. April 2026 aktiv geblieben.

Sekoia hatte diese Angriffe erst vergangene Woche ebenfalls dokumentiert. Demnach führt die Ausnutzung der WinRAR-Lücke zur Bereitstellung von GammaPhish, einer HTML Application (HTA), die anschließend einen VBScript-Downloader mit dem Namen GammaLoad nachlädt. Dieser Zwischenschritt liefert weitere Module wie GammaSteel aus.

Sekoia beschreibt GammaLoad als „eine Sammlung von VBScripts, die darauf ausgelegt ist, dauerhaften Zugriff sicherzustellen und über Dead Drop Resolvers fortlaufend Nutzlasten bereitzustellen“. Darüber werde ein Dropper verteilt, der wiederum einen VBScript-Loader startet, der für die Ausführung von GammaSteel zuständig ist. GammaSteel ist laut Sekoia ein umfassender Informationsdieb, der Änderungen an Dateien in Echtzeit überwachen kann.

Trend Micro betont, dass WinRAR in ukrainischen Organisationen tief in den täglichen Abläufen verankert sei und sich deshalb besonders für eine Ausnutzung anbiete. Dass sowohl etablierte staatlich unterstützte Gruppen als auch unabhängig verfolgte Cluster dieselbe Schwachstelle einsetzen, verdeutliche das Ausmaß der Cyberbedrohungen, denen die Ukraine ausgesetzt ist.