Nach Angaben von Microsoft handelt es sich bei GigaWiper um eine ausgefeilte Backdoor in Go, die mehrere Malware-Familien zusammenführt. Die destruktiven Funktionen seien in Form von bei Bedarf abrufbaren Backdoor-Befehlen integriert worden. So könne der Angreifer wahlweise einen eigenständigen Wiper ausführen, einen ransomware-ähnlichen Verschlüsselungsbefehl starten oder einen Löschbefehl mit mehreren Durchgängen zum Überschreiben von Daten einsetzen.
Der erstmals im Oktober 2025 beobachtete Wiper arbeitet laut Microsoft auf Ebene physischer Datenträger. Er erfasst Laufwerke über Windows Management Instrumentation, um die Windows-Partition zu identifizieren, entfernt Partitionsverweise von Nicht-Windows-Laufwerken, löscht die einzelnen Datenträger und startet das System anschließend neu.
Die Backdoor-Komponente von GigaWiper enthält nach Microsofts Analyse dieselbe Wiping-Funktionalität, einschließlich identischem Code-Ablauf und identischer Funktionsnamen. Für Persistenz sowie die Kommunikation mit der Kommando-und-Kontroll-Infrastruktur nutzt die Malware RabbitMQ und Redis.
Abhängig von den empfangenen Befehlen kann GigaWiper den Wiper starten, einen Blue Screen of Death auslösen, Dateien mit dem MinIO Client auf einen entfernten Server hochladen, ausführbare Dateien starten, PowerShell-Befehle ausführen, Bildschirmfotos erstellen, den Bildschirm aufzeichnen, Systeminformationen sammeln und einen Befehl zum Löschen der Windows-Installation aufrufen.
Hinzu kommen zwei Befehle zur Dateiverschlüsselung. Einer davon ist destruktiv, weil er zufällige Verschlüsselungsschlüssel verwendet, die nie gespeichert werden. Der andere dient dazu, Dateien in größerem Umfang zu ver- und auch wieder zu entschlüsseln. Außerdem kann die Backdoor verschiedene Manager für Prozesse, die Registry, RabbitMQ-Routen und Dienste ausführen, Windows-Protokolle löschen und einen Server starten, über den Angreifer Fernzugriff auf das infizierte System erhalten.
Microsoft zufolge stammen die in der Backdoor umgesetzten Löschbefehle aus separater, älterer Malware, die der Bedrohungsakteur zuvor eingesetzt hatte. Diese Bausteine seien in dasselbe Implantat eingefügt und um Backdoor-Funktionen erweitert worden.
Verbindungen sieht Microsoft zudem zu zwei weiteren Malware-Linien. Auf Basis des Verschlüsselungscodes wirke es so, als sei GigaWiper vom Entwickler der Crucio-Ransomware gebaut worden. Darüber hinaus zeige die Malware Bezüge zu FlockWiper, das im Juni 2025 aufgetaucht war: Beide teilten eine identische Wiping-Funktion, die in diesem Fall nach Go portiert worden sei.
Microsoft beschreibt GigaWiper als Backdoor mit weitreichenden operativen Fähigkeiten. Sie erlaube es einem Bedrohungsakteur, die Kontrolle über infizierte Systeme aufrechtzuerhalten, Befehle auszuführen, zusätzliche Werkzeuge nachzuladen und letztlich eine von mehreren destruktiven Funktionen nach Bedarf auszulösen. Gerade diese Flexibilität ermögliche sowohl unauffällige Spionageaktivitäten als auch zerstörerische Wiping-Operationen.
