Nach Kasperskys Analyse besteht OkoBot aus mehr als 20 Schadkomponenten und Implantaten und war zum Stand des Berichts vom 15. Juli noch aktiv. SeedHunter überwacht nach der Kompromittierung, ob Trezor Suite, Ledger Wallet oder Ledger Live vorhanden sind, injiziert sich in die gefundene Anwendung und hängt sich in die Electron-Interna ein. Anschließend fragt das Modul sein Command-and-Control-System unter moonsand[.]store ab.

Setzt der Server ein „Warten“-Kennzeichen, durchsucht SeedHunter USB-Verbindungen anhand von Hersteller- und Produktkennung und bleibt inaktiv, bis tatsächlich ein Ledger- oder Trezor-Gerät angeschlossen wird. Erst dann zeichnet es eine fest kodierte Wiederherstellungsseite, jeweils mit eigenem Layout pro Marke. Ist das Kennzeichen nicht gesetzt, erscheint die Seite sofort. Die eingegebene Phrase landet laut Kaspersky hinter einer Kennzeichnung „@:app:print“ in der Konsole der Seite; die manipulierte Funktion mal_LogConsoleMessage fängt sie ab. Exfiltriert wird sie als JSON, zusätzlich wird eine mit RC4 verschlüsselte Kopie in einer temporären Datei abgelegt.

Kaspersky betont, dass weder ein Wallet-CVE noch ein Hersteller-Patch für diesen Weg existieren. Angegriffen werde der Endpunkt, nicht das Hardware-Wallet. Ledger erklärte dazu, die Phrase verlasse niemals etwas anderes als das Ledger selbst. Trezor Suite erklärt laut Bericht, dass die Software niemals dazu auffordern werde, das Backup einzutippen – mit einer Ausnahme: Bei der Standard-Wiederherstellung eines Model One werden die Wörter in Suite eingegeben, allerdings nur dann, wenn das Gerät selbst dazu auffordert. Erscheint eine Seite allein durch das Anstecken des Geräts, ohne entsprechende Anzeige auf dem Display, sei das ein Warnsignal.

Als wichtigste Erstzugänge nennt Kaspersky zwei Wege: ClickFix-Köder und trojanisierte Software auf GitHub. Das von Kaspersky zerlegte Repository warb mit SQL Server Management Studio, lieferte aber tatsächlich Audacity aus, neu gebaut mit einem schädlichen Implantat in einer seiner Bibliotheken. Das Paket rangierte bei der Suche nach „SSMS“ weit oben und war von Ende März 2025 bis Juni verfügbar.

Beide Wege führen zu TookPS, einem PowerShell-Downloader, den Kaspersky seit März 2025 verfolgt. Damals wurde er über gefälschte DeepSeek-Seiten verbreitet, später über vorgetäuschte Download-Seiten für Unternehmenssoftware. TookPS installiert SSH, verbindet sich mit einem von Angreifern kontrollierten Server, leitet den lokalen SSH-Daemon-Port weiter und wartet. Später verbindet sich ein automatisierter SSH-Bot durch diesen Tunnel zurück.

Dieser Bot inventarisiert das kompromittierte System bis hin zur installierten Antivirensoftware und zieht Wallet-Dateien, Cookies, Browser-Profile und Zugangsdaten durch den Tunnel ab. Außerdem unterdrückt er Defender-Benachrichtigungen per Registry-Eintrag. Danach werden weitere Module per SFTP nachgeladen. Ein mit VMProtect gepackter Starter namens HDUtil führt sie aus und kann sie laut Kaspersky per Windows-RPC-UAC-Umgehung geräuschlos mit höheren Rechten starten; Project Zero hatte diese Technik 2019 dokumentiert.

Die letzte Stufe ist Volume2, ein Open-Source-Werkzeug mit einer schädlichen protobuf.dll, die die eigentliche Nutzlast entschlüsselt und startet: einen Plugin-Dispatcher, der alle 20 Sekunden sein C2-System abfragt. Kaspersky rekonstruierte fünf Plugins. Eines davon ist ein Prozess-Injektor, der SeedHunter an seinen Platz bringt. Hinzu kommen Überwachungsfunktionen: OkoSpyware beobachtet mehr als 100 ausführbare Programme, darunter Exodus und 1Password, zeichnet passende Fenster mit einem gebündelten FFmpeg als MP4 auf und protokolliert Tastatureingaben. Browser-Titel werden per regulärem Ausdruck abgeglichen, sodass auch Tabs etwa von MetaMask oder Tonkeeper aufgezeichnet werden. MC Keylogger erfasst Eingaben, Zwischenablage und USB-Geräte und erstellt alle fünf Minuten einen Screenshot. Ein weiterer Loader installiert versteckte Chromium-Erweiterungen mit allen Berechtigungen; installiert wurde laut Kaspersky Rilide, ein Chromium-Stealer, der seit April 2023 von russischsprachigen Bedrohungsakteuren genutzt wird.

Eine Zuschreibung an einen bekannten Akteur nimmt Kaspersky nicht vor. Wörtlich heißt es, man könne diese bösartige Kampagne keinem bekannten Crimeware-Akteur zuordnen. Die Server für die erste PowerShell-Stufe liefern an IP-Adressen aus Russland und den GUS-Staaten eine leere Antwort zurück. Rilide werde in russischsprachigen, nur auf Einladung zugänglichen Foren gehandelt. Die SeedHunter-Phishing-Seiten enthalten zudem russische Kommentare. Kaspersky wertet das jedoch ausdrücklich nur als schwache Indizien.

Der Bericht erwähnt außerdem einen Umbau vom März 2026: TeviRAT ist verschwunden, ebenso die Kette aus HDUtil, extl und Rilide. Deren Funktion sei in einem einzigen Dispatcher-Plugin zusammengeführt worden. Volume2 komme nun direkt von TookPS.