Morphisec hat Angriffe mit dem BabaDeda Loader beschrieben, die im April 2026 gegen Organisationen aus dem Bildungs- und Finanzbereich beobachtet wurden. Forscher Shmuel Uzan erklärte, frühere BabaDeda-Aktivitäten seien dafür bekannt gewesen, schädliche Nutzlasten in legitim wirkenden Installationspaketen zu verstecken. Das neue Framework bewahre zwar denselben „Code-Stammbaum“, sei aber zu einem deutlich leistungsfähigeren Loader für Tarnung, Umgehung und flexible Nutzlasten ausgebaut worden.

Ausgangspunkt dieser Angriffe ist laut Morphisec ein ClickFix-Köder, der Nutzer dazu bringt, von den Angreifern gelieferte PowerShell-Befehle auszuführen. Der Loader dient anschließend dazu, Infostealer und Remote-Access-Trojaner nachzuladen. Dabei kommen unter anderem verstecktes PowerShell, Shellcode im Arbeitsspeicher, DLL-Seitenladen und extern gespeicherte Nutzlasten zum Einsatz. Morphisec ordnet die Aktivität dem Crypter-Dienst BabaDeda zu, den das Unternehmen bereits im November 2021 im Zusammenhang mit einer Kampagne gegen den Kryptowährungs- und Web3-Sektor dokumentiert hatte, bei der Infostealer, RATs und LockBit-Ransomware verteilt wurden.

Der BabaDeda Loader profiliert das Zielsystem, meidet russische und belarussische Systeme und prüft Sicherheitsprodukte, bevor er die Hauptnutzlast abruft und in einen vertrauenswürdigen Windows-Prozess wie „svchost.exe“ injiziert. Eine der damit ausgelieferten Malware-Familien ist eine in .NET geschriebene Backdoor mit Infostealer-Funktionen, die sensible Daten sammeln und einen verschlüsselten Kanal zu einem Command-and-Control-Server aufbauen kann. Eine zweite Angriffskette liefert ein ZIP-Archiv aus, das per DLL-Seitenladen DanaBot und SectopRAT alias ArechClient startet. Auffällig ist dabei eine gestufte Loader-Komponente namens Storage Crypter, die Nutzlastmaterial aus externen Speicherdateien wie „List.Control.dat“ liest. Morphisec zufolge erscheinen die sichtbaren Anwendungspakete legitim, während die schädlichen Komponenten in extern gespeicherten Containern verborgen bleiben und erst unmittelbar vor der Ausführung dekodiert werden.

BlueVoyant berichtet parallel über eine aktive Kampagne, die mindestens fünf kompromittierte WordPress-Seiten als Ausgangspunkt nutzt, um den Lorem Ipsum Loader und eine Backdoor gleichen Namens auszuliefern. Betroffen sind Websites aus mehreren Branchen, darunter Architektur, Rechtsdienstleistungen und Bautechnologie. Der Loader ist nach Einschätzung der Forscher seit Februar 2026 in freier Wildbahn aktiv. Thomas Elkins und Joshua Green von BlueVoyant sprechen von einer deutlichen Abkehr von früheren opportunistischen Kampagnen, die trojanisierte Microsoft-Teams-Installer über gefälschte Download-Portale verbreiteten, die per Suchmaschinenvergiftung und schädlicher Werbung beworben wurden.

Als Grund für diesen Wechsel nennen die Forscher Microsofts jüngste Störung von Fox Tempest alias Forging Marauder. Die Gruppe habe einen Dienst zum Signieren von Malware angeboten, um Schadsoftware mit betrügerisch ausgestellten Microsoft-Trusted-Signing-Zertifikaten unauffällig auszuliefern. Mit dem Wegfall dieser Zertifikatsquelle sei das frühere Modell signierter Installer nicht mehr praktikabel gewesen, weshalb die Betreiber auf einen Zustellweg ohne Code-Signatur umgestiegen seien. BlueVoyant schreibt das Lorem-Ipsum-Ökosystem mit hoher Sicherheit dem finanziell motivierten Akteur Vanilla Tempest zu, auch bekannt als Rapid Brigantine, Vice Society und Vice Spider. Die Gruppe ist für den Einsatz von Ransomware-Familien wie Rhysida, BlackCat, Zeppelin und Quantum Locker bekannt.

Die entsprechenden Angriffsketten nutzen ClickFix-artige Edge-Sicherheitsupdate-Köder. Ein schädlicher Befehl lädt ein ZIP-Archiv und eine veraltete Node.js-Version von 2017, Version 7.10.1, herunter, um JavaScript-Nutzlasten aus dem Archiv mit geringerer Erkennungswahrscheinlichkeit auszuführen. Das JavaScript fungiert als Dropper für weitere Malware-Komponenten, darunter ein Batch-Skript, das Persistenz einrichtet und eine DLL-Seitenladekette startet. Darüber wird eine schädliche DLL wie „mscoree.dll“ oder „msvcp140.dll“ ausgeführt, die wiederum die eingebettete Nutzlast des Lorem Ipsum Loaders dekodiert. BlueVoyant zufolge ruft dieser anschließend die nächste Stufe, die Lorem Ipsum Backdoor, von Command-and-Control-Infrastruktur ab, deren Adressen aus von den Angreifern kontrollierten Profilen in sozialen Netzwerken bezogen werden. Die Kette münde letztlich in die etablierten Post-Exploitation-Werkzeuge von Rapid Brigantine und schließlich vor allem in deren dokumentierte Rhysida-Ransomware-Einsätze.

Die dritte Kampagne, die Huntress beschreibt, installiert zunächst ein MSI-Paket und liefert dann über eine HTML-Anwendung den bislang nicht dokumentierten Loader Potemkin aus. Dieser dient als Transportweg für EtherRAT und RMMProject, eine per Lua skriptbare DLL mit Modulen für Fernsteuerung des Bildschirms und den Diebstahl von Browser-Zugangsdaten unter Umgehung von Chromiums App-Bound-Encryption-Schutz. Huntress-Forscher Anna Pham und Zach Rogers bezeichnen Potemkin als einen angepassten x64-Loader, der per Domain-Generation-Algorithmus seinen Command-and-Control-Server findet und nachgelagerte Module reflektiv im Speicher lädt. Die Aktivität wurde laut Huntress im vergangenen Monat entdeckt.

Der Loader verfügt über getrennte Komponenten für den gesamten Ablauf, darunter C2-Ermittlung über einen DGA mit eingebautem Wörterbuch aus 1.000 Wörtern, Opferidentifikation über eine eindeutige UUID in „%LOCALAPPDATA%\hyper-v.ver“, Aufgabenabfrage, DLL-Abruf und -Ausführung sowie eine eigene Byte-Chiffre zum Schutz der C2-Kommunikation und des DGA-Wörterbuchs. Nach der Kompromittierung habe der unbekannte Bedrohungsakteur laut Huntress manuelle Aktivitäten ausgeführt, Microsoft-Defender-Ausnahmen konfiguriert, Chisel-Reverse-SOCKS-Tunnel ausgerollt, weitere Aufklärung betrieben, einen Cloudflare-Tunnel für dauerhaften Zugriff eingerichtet und sich über WMIExec und SMBExec seitlich ausgebreitet, um den Domänencontroller zu erreichen und EtherRAT auf mehr als 11 Hosts zu verteilen.

Die Berichte erscheinen vor dem Hintergrund weiterer ClickFix-Kampagnen gegen Windows- und macOS-Nutzer. Genannt werden betrügerische Bot-Verifizierungsbildschirme zur Auslieferung von Phexia Stealer für macOS sowie HellsUchecker, einer über EtherHiding verteilten Backdoor, die von C2 geladene Dateien ausführen und Ergebnisse zurückmelden kann. Außerdem wird das Interesse an Werkzeugen für künstliche Intelligenz genutzt, um gefälschte MSI-Installer für Claude zu verteilen, die PowerShell-Nutzlasten starten.

Huntress erklärt die anhaltende Wirksamkeit von ClickFix damit, dass die Methode menschliches Verhalten ausnutzt: Nutzer folgten oft klaren, autoritativ wirkenden Anweisungen wie „Drücken Sie Win+R, fügen Sie dies ein und drücken Sie Enter“. Apple hat unterdessen in macOS Tahoe 26.4 ein neues Sicherheitsfenster eingeführt, das vor dem Einfügen von Befehlen in die Terminal-App warnt. In einem Support-Dokument dieser Woche schreibt Apple, Betrüger nutzten Websites, Chat-Agenten sowie Nachrichten- und E-Mail-Anwendungen, um Menschen zum Einfügen schädlicher Befehle zu verleiten, die den Mac schädigen oder die Privatsphäre gefährden können.