Sicherheitsforscher haben eine raffinierte Cryptojacking-Kampagne aufgedeckt, die über manipulierte Software-Bundles den XMRig-Miner verbreitet und sowohl Privilege-Escalation als auch Wurm-ähnliche Ausbreitungsfähigkeiten nutzt.
Cybersicherheitsexperten haben Details einer neuen Cryptojacking-Kampagne offengelegt, die auf eine perfide Strategie setzt: Kostenlose Raubkopien von Premium-Software werden als Köder verwendet, um ein maßgeschneidertes XMRig-Mining-Programm auf anfällige Systeme zu schleusen.
Laut einem Bericht des Sicherheitsunternehmens Trellix zeigt sich hier eine besonders raffinierte mehrstufige Infektionsmethode. Der Forscher Aswath A beschreibt die Kampagne als hochentwickelt, mit dem Ziel, die Kryptomining-Leistung zu maximieren – oft auf Kosten der Systemstabilität der Opfer. Besonders bemerkenswert ist die Wurm-ähnliche Funktionsweise: Die Malware breitet sich über externe Speichermedien aus und kann selbst in isolierten Netzwerken lateral eindringen.
Die Angriffsmethode beginnt mit klassischem Social Engineering. Opfer werden mit verlockenden Angeboten für kostenlose Office-Programme und andere beliebte Software konfrontiert – in Wahrheit malware-verseuchte Installerpackete. Das zentrale Schadprogramm fungiert dabei als eine Art digitales Nervensystem: Es agiert gleichzeitig als Installer, Überwacher, Payload-Manager und Reinigungstool. Die modulare Architektur ermöglicht verschiedene Betriebsmodi, gesteuert durch Kommandozeilen-Parameter.
Ein besonders sinistres Element ist eine eingebaute Zeitbombe. Das Malware-Programm vergleicht die Systemzeit mit einem vordefinierten Zeitstempel – das Ablaufdatum ist der 23. Dezember 2025. Trellix vermutet, dass dieses Datum entweder auf das Ende gemieteter Command-and-Control-Infrastruktur hinweist, einen geplanten Wechsel des Kryptowährungsmarktes oder den Übergang zu einer neuen Malware-Variante.
Besonders raffiniert ist die Kombination mehrerer Exploitations-Techniken. Der dropper schreibt verschiedene Komponenten auf die Festplatte, darunter ein legitimes Windows-Telemetrie-Programm, das später als Träger für die Mining-DLL missbraucht wird. Zusätzlich werden Persistenzmechanismen installiert und Sicherheitstools deaktiviert. Das Kernstück ist jedoch die Verwendung eines verwundbaren Treibers – WinRing0x64.sys – um Administratorrechte zu erlangen. Diese Technik heißt BYOVD (Bring Your Own Vulnerable Driver) und nutzt die Schwachstelle CVE-2020-14979 (CVSS 7.8). Der Exploit ermöglicht es, die CPU-Konfiguration auf niedriger Ebene zu kontrollieren und die Mining-Performance um beeindruckende 15 bis 50 Prozent zu steigern.
Was diese XMRig-Variante besonders gefährlich macht, ist ihre aggressive Verbreitungsfähigkeit. Sie wartet nicht passiv darauf, dass Nutzer den dropper herunterladen – stattdessen versucht sie aktiv, sich über USB-Sticks und andere Wechselmedien zu verbreiten. Damit mutiert die Malware vom einfachen Trojaner zum echten Computerwurm.
Die Überwachung zeigt: Die Mining-Aktivitäten erfolgten im November 2025 zunächst sporadisch, erhielten aber deutlich Auftrieb am 8. Dezember 2025. Trellix wertet dies als warnendes Signal: “Diese Kampagne zeigt, dass commodity malware weiterhin innoviert. Die Kombination aus Social Engineering, Softwaremaskeraden, Wurm-ähnlicher Ausbreitung und Kernel-Level-Exploitation hat einen besonders resistenten und effizienten Botnet geschaffen.”
Parallel zu dieser Entdeckung meldete das Sicherheitsunternehmen Darktrace einen neuen Trend: Sie identifizierten eine Malware-Variante, die offenbar mit Hilfe großer Sprachmodelle (LLM) generiert wurde. Diese nutzt die React2Shell-Schwachstelle (CVE-2025-55182, CVSS 10.0), um ein Python-Toolkit herunterzuladen – wiederum mit dem Ziel, XMRig-Miner zu installieren.
Die Forscher Nathaniel Bill und Nathaniel Jones warnen vor den Implikationen: “Obwohl die bisherige Ausbeute begrenzt ist und Cryptomining kein neues Phänomen darstellt, zeigt sich hier ein alarmierende Trend: KI-gestützte Sprachmodelle machen Cyberkriminalität deutlich zugänglicher.” Ein einziger Prompt-Durchgang mit einem LLM reichte aus, um ein funktionsfähiges Exploit-Framework zu erstellen und über neunzig Systeme zu kompromittieren.
Zusätzlich wurde ein Scanning-Toolkit namens ILOVEPOOP entdeckt, das nach React2Shell-vulnerablen Systemen sucht. Besonders im Visier: US-amerikanische Regierungs-, Verteidigungs-, Finanz- und Industrieorganisationen. Das Tool fällt durch eine merkwürdige Diskrepanz auf: Der Code zeigt Expertenwissen über React Server Components – doch die Operatoren, die es einsetzen, machten grundlegende Fehler bei der Interaktion mit Honeypot-Systemen.
Alex Ronquillo von WhoisXML API deutet dies als mögliche Arbeitsteilung: “Wir könnten hier zwei unterschiedliche Gruppen sehen – eine, die das Werkzeug entwickelt hat, und eine, die es einsetzt. Das Muster ähnelt staatlich gesponserten Operationen: Ein fähiges Team entwickelt die Tools, übergibt sie dann an Operatoren für Massenscanning-Kampagnen. Die Operatoren müssen nicht verstehen, wie das Werkzeug funktioniert – sie müssen es nur ausführen.”
Quelle: The Hacker News