APT37 nutzt neues 'Ruby Jumper'-Toolkit für Angriffe auf isolierte Netze

Nordkoreas Cyber-Spione haben ihre Methoden verfeinert und infiltrieren nun auch hochsichere, vom Internet getrennte Systeme. Das belegt ein neuer Bericht über die als APT37 bekannte Hackergruppe, die mit einem neuartigen Werkzeugset namens 'Ruby Jumper' arbeitet. Die Angriffe zielen auf kritische Industrien weltweit ab und nutzen manipulierte Windows-Dateien als Einstieg.

Forscher des Sicherheitsunternehmens Zscaler ThreatLabz haben die mehrstufige Kampagne analysiert, die bereits im Dezember 2025 begann. Der Angriff startet klassisch mit einer betrügerischen E-Mail, entfaltet dann aber seine volle Komplexität. Der entscheidende Hebel: Ein bösartiger Windows-Dateiverknüpfung (LNK-Datei) führt einen PowerShell-Befehl aus, der weitere Schadsoftware direkt aus dem Speicher lädt – völlig ohne sichtbare Dateien auf der Festplatte.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche neuen Gesetze die Haftung verschärfen, erklärt dieser Experten-Report. Stärken Sie Ihre IT-Sicherheit mit einfachen, aber effektiven Maßnahmen gegen moderne Bedrohungen. Kostenloses E-Book: Cyber Security Trends 2024 sichern

So funktioniert die 'Ruby Jumper'-Angriffskette

Die technische Raffinesse liegt in der Art der Payload-Auslieferung. Statt Malware aus dem Internet nachzuladen, fischt der PowerShell-Befehl die Schadkomponenten direkt aus der LNK-Datei selbst heraus. Dieser selbstversorgende Ansatz macht die ersten Infektionsschritte nahezu unsichtbar, da keine Netzwerkkommunikation nötig ist.

Aus der Dateiverknüpfung werden mehrere Bestandteile extrahiert: eine Ablenkungsdatei, eine ausführbare Schadnutzlast, ein weiteres PowerShell-Skript und eine Batch-Datei. In einem beobachteten Fall zeigte das Ablenkungsdokument einen arabischsprachigen Artikel zum Nahost-Konflikt, übersetzt aus einer nordkoreanischen Zeitung. Während das Opfer dies liest, arbeitet die Spionagesoftware im Hintergrund.

Ein neues Arsenal für die Spionage in Hochsicherheitsumgebungen

Was die Kampagne besonders gefährlich macht, ist das Einsatzspektrum. Die Hacker setzen ein Bündel bisher unbekannter Werkzeuge ein, darunter fünf völlig neue Tools mit den Codenamen Restleaf, SnakeDropper, ThumbSBD, VirusTask und FootWine.

Diese Tools sind speziell für Angriffe auf air-gapped Systeme konzipiert – also Netzwerke, die physikalisch vom öffentlichen Internet getrennt sind. Der Clou: Die Malware kann über USB-Sticks oder andere Wechselmedien sowohl in diese isolierten Netze eindringen als auch gestohlene Daten daraus herausschmuggeln. So überbrücken die Angreifer die vermeintlich sichere Lücke.

Hacker nutzen oft psychologische Tricks und CEO-Fraud, um selbst in gesicherte Firmennetze einzudringen. Dieser Experten-Guide bietet eine 4-Schritte-Anleitung zur erfolgreichen Abwehr aktueller Phishing-Methoden. Anti-Phishing-Paket kostenlos herunterladen

APT37: Vom regionalen Akteur zur globalen Bedrohung

Die Gruppe, auch unter den Namen ScarCruft oder Ricochet Chollima bekannt, ist seit 2012 aktiv. Ursprünglich konzentrierten sich ihre Cyber-Spionageangriffe auf Ziele in Südkorea. Seit 2017 hat APT37 sein Operationsgebiet jedoch massiv ausgedehnt.

Heute werden Angriffe in Japan, Vietnam und dem Nahen Osten beobachtet. Im Visier stehen Branchen wie Chemie, Elektronik, Luft- und Raumfahrt, Automobilbau und Gesundheitswesen. Die Entwicklung von 'Ruby Jumper' unterstreicht den Fokus der Gruppe auf hochwertige Industriespionage und ihre stetige technische Evolution.

Was bedeutet das für die IT-Sicherheit?

Die Kampagne ist eine deutliche Warnung für alle Organisationen mit Hochsicherheitsnetzwerken. Sie zeigt: Die alleinige Abschottung vom Internet (Air-Gap) bietet keinen ausreichenden Schutz mehr. Angreifer kombinichen geschickt Social Engineering, fileless Attacken und spezialisierte Werkzeuge für Wechselmedien zu einer durchschlagenden Angriffskette.

Sicherheitsverantwortliche müssen daher auf eine mehrschichtige Verteidigung setzen. Dazu gehören:
* Strikte Kontrolle von Wechselmedien: USB-Ports sollten nur autorisierten Geräten zugänglich sein.
* Erweiterte Endpoint-Erkennung (EDR): Lösungen müssen die Ausführung von Skripten wie PowerShell überwachen und verdächtiges Verhalten erkennen.
* Umfassende PowerShell-Protokollierung: Nur so lässt sich bösartige Aktivität von normaler Administration unterscheiden.
* Anhaltende Sensibilisierung: Die erste Hürde bleibt der Mensch – regelmäßige Schulungen zum Erkennen von Phishing ist unerlässlich.

Die Entwicklung bei APT37 zeigt einen klaren Trend: Staatliche Hacker investieren massiv in Techniken, die ihre Spuren minimieren und signaturbasierte Erkennung umgehen. Die Antwort darauf kann nur in einer proaktiven Suche nach Bedrohungen und einer konsequenten Überwachung aller Systemprozesse liegen.