Im Zentrum der Kampagne steht nach Kaspersky ein SSH-Bot, der mehrere Aufgaben übernimmt. Er sammelt Systemdetails wie Benutzernamen, installierte Antivirensoftware, IP-Adresse und Betriebssystemversion, schaltet Benachrichtigungen von Windows Defender ab und greift außerdem Kryptowallet-Dateien, Browser-Cookies und Kontozugangsdaten ab.

OkoBot setzt dabei auf mehr als 20 Module. Besonders brisant ist der Diebstahl von Wiederherstellungsphrasen für Kryptowallets. Wie Kaspersky hervorhebt, verschafft eine solche Wallet-Recovery-Phrase vollständigen Zugriff auf die Krypto-Vermögenswerte eines Nutzers. Gelangt sie in die Hände von Angreifern, können diese die Bestände auf Wallets unter eigener Kontrolle übertragen; eine Wiederherstellung ist dann praktisch nicht mehr möglich.

Laut der Telemetrie von Kaspersky befindet sich der Großteil der Opfer in Brasilien. Danach folgen Vietnam, Kanada, Mexiko und die Türkei. Zugleich betonen die Forscher, dass die Reichweite der Kampagne global ist.

Erstmals beobachtet wurde die OkoBot-Aktivität im Januar. Kaspersky beschreibt sie als Weiterentwicklung der TookPS-Kampagne, die seit März 2025 läuft. Zwar weist das Unternehmen die OkoBot-Kampagne keinem konkreten Akteur zu, nennt aber mehrere technische Hinweise zur möglichen Herkunft.

So stellten die Forscher fest, dass der Zugang zu den Servern, die die PowerShell-Skripte für die erste Angriffsphase hosten, geografisch eingeschränkt ist. Werden IP-Adressen aus Russland oder dem Gebiet der Gemeinschaft Unabhängiger Staaten verwendet, liefern die Server keine Schadlast aus, sondern antworten leer.

Weitere Indizien deuten laut Kaspersky auf einen russischsprachigen Bedrohungsakteur hin. Dazu zählen russische Kommentare im Quellcode des Moduls SeedHunter sowie der Einsatz eines Infostealers, der aktiv in nur auf Einladung zugänglichen russischen Cybercrime-Foren beworben wird.

Für Verteidiger enthält der Kaspersky-Bericht zudem eine Sammlung von Kompromittierungsindikatoren. Dazu gehören Hashes der schädlichen Plug-ins, Injector-Nutzlasten und SSH-Bot-Werkzeuge ebenso wie Dateipfade, Domains und IP-Adressen.