GigaWiper ist in Go geschrieben und läuft unter Windows. Die Backdoor nimmt nummerierte Befehle entgegen, von denen drei laut Microsoft auf Zerstörung ausgelegt sind. Die eine Funktion löscht den gesamten Datenträger, eine zweite überschreibt das Windows-Laufwerk, und eine dritte tarnt sich als Ransomware, verschlüsselt Dateien jedoch mit einem Schlüssel, der nicht gespeichert wird. Microsoft führt den Fake-Ransomware-Code auf Crucio zurück und den mehrstufigen Wiper auf FlockWiper; nach Einschätzung des Unternehmens stammen alle drei Komponenten vom selben Entwickler.
Neben den Wiper-Funktionen dient GigaWiper auch der Überwachung und Fernsteuerung kompromittierter Rechner. Die Backdoor erstellt Bildschirmfotos von allen Monitoren, zeichnet den Bildschirm während der Nutzung auf und kann eine versteckte VNC-Sitzung öffnen, die die Anzeige überträgt und dem Angreifer Eingaben per Tastatur und Maus ermöglicht. Zusätzlich sammelt sie Systeminformationen, verwaltet laufende Programme und Dienste, bearbeitet die Registry und kann Windows-Ereignisprotokolle löschen, um Spuren zu verwischen. In den untersuchten Proben fand Microsoft außerdem weitere noch ungenutzte Befehle, darunter Platzhalter für einen Keylogger und zusätzliche Wiper.
Für ihre Tarnung gibt sich die Malware als OneDrive aus. Sie legt eine geplante Aufgabe mit dem Namen „OneDrive Update“ an, die jede Minute ausgeführt wird, und verankert sich in einem Registry-Schlüssel unter HKCU\SOFTWARE\OneDrive\Environment. Öffnet sie ihren Fernsteuerungskanal, tarnt sie sich laut Microsoft hinter einer Firewall-Regel mit dem Namen einer echten Windows-Komponente: Microsoft.Windows.CloudExperienceHost.
Auch beim Netzwerkverkehr setzt GigaWiper nicht auf einen klassischen, eigens entwickelten Malware-Kanal. Für die Steuerung verwendet die Backdoor RabbitMQ, für Ergebnisse Redis und für die Exfiltration MinIO. Da es sich um legitime Werkzeuge handelt, wirkt der Datenverkehr in Umgebungen, die diese Dienste ohnehin einsetzen, unauffällig.
Die Überschneidung mit BLUERABBIT ist eng: Microsoft und Binary Defense führen dieselben vier Hashes auf, und beide Berichte nennen dieselben Command-and-Control-Server. Binary Defense hatte BLUERABBIT bereits im vergangenen Monat markiert. Zur Zuschreibung verweist Binary Defense auf Googles Threat Intelligence Group, die die Malware mit einer mutmaßlich Iran-nahen Gruppe verknüpft, die israelische Organisationen ins Visier nehme. Microsoft verzichtet in seinem Bericht auf eine Länderzuordnung.
Ganz ohne Kontext steht der Code dennoch nicht da. Crucio wurde in einer CISA-Warnung vom Dezember 2023 zu CyberAv3ngers als mutmaßliche Ransomware aufgeführt. Diese Gruppe wird dort mit den iranischen Revolutionsgarden in Verbindung gebracht. The Hacker News berichtete, dass dieselbe Gruppe 2023 in Wasser- und Energieeinrichtungen in den USA, Israel, dem Vereinigten Königreich und Irland eingedrungen sei und über aus dem Internet erreichbare industrielle Steuerungen Zugriff erhalten habe. Das von Microsoft herangezogene Crucio-Beispiel trägt denselben Fingerabdruck wie in dieser Warnung.
Microsoft fand zudem das wiederkehrende Kürzel „GRAT“ sowohl in Debug-Pfaden von FlockWiper als auch in Funktionsnamen von GigaWiper. Das verknüpft beide Werkzeuge zusätzlich und deutet auf eine weitere, bislang nicht aufgetauchte Komponente hin. Bei der zeitlichen Einordnung weichen die Quellen voneinander ab: Microsoft datiert die destruktiven Aktivitäten auf Oktober 2025, während Binary Defense dieselben Dateien als BLUERABBIT erstmals im März 2026 gesehen haben will.
Als Erkennungs- und Schutzmaßnahmen empfiehlt Microsoft, den Manipulationsschutz zu aktivieren, damit Angreifer den Virenschutz nicht abschalten können, die beiden bekannten Server 185.182.193[.]21 und 212.8.248[.]104 zu blockieren, Endpunkterkennung im Blockiermodus zu betreiben sowie cloudbasierte Schutzfunktionen und automatische Gegenmaßnahmen einzuschalten. Die vollständige Liste der Dateihashes, Serveradressen und Erkennungsnamen verweist Microsoft auf seinen eigenen Bericht.
