Arcane Werewolf greift mit neuem Loki-Malware-Implantat Industrie an

Eine hochgefährliche Phishing-Kampagne zielt auf russische Industrieunternehmen ab. Die als Arcane Werewolf bekannte Bedrohungsgruppe setzt eine deutlich weiterentwickelte Version ihrer Schadsoftware ein, die sich nahtlos in legitime Sicherheitswerkzeuge einfügt.

Die Cybersicherheitsfirma BI.ZONE hat diese neue Angriffswelle identifiziert, die sich im Oktober und November 2025 intensivierte. Der Kern der Attacke ist “Loki 2.1”, ein maßgeschneidertes Implantat, das einen technologischen Sprung gegenüber früheren Versionen darstellt. Die Gruppe nutzt gezielte Phishing-E-Mails, um die Schadsoftware zu verbreiten, und zeigt damit den Trend staatlich unterstützter Akteure auf, modifizierte Open-Source-Tools für Spionage und Sabotage kritischer Infrastrukturen zu missbrauchen.

Das neue Implantat Loki 2.1 ist der Dreh- und Angelpunkt der Kampagne. Während frühere Operationen im Oktober noch auf eine Go-basierte Version (Loki 2.0) setzten, nutzt die nun beobachtete Variante einen C++-Dropper. Diese komplette Neuprogrammierung innerhalb eines Monats deutet auf einen gezielten Versuch hin, Erkennungssignaturen zu umgehen, die die vorherige Version möglicherweise verrieten.

Der entscheidende Unterschied liegt in der Befehlsstruktur. “Das Loki 2.1-Implantat unterstützt denselben Befehlssatz wie Loki 2.0. Der einzige Unterschied ist, wie Befehle identifiziert werden: Während Loki 2.0 jeden Befehl einem bestimmten djb2-Hashwert zuordnete, ordnet Loki 2.1 Befehlen Ordnungszahlen zu”, erklären die BI.ZONE-Forscher.

Präzise Spear-Phishing und täuschend echte Lieferanten‑Domains machen diese Kampagne so gefährlich – viele Sicherheitsteams sind darauf nicht vorbereitet. Das kostenlose Anti‑Phishing‑Paket erklärt in einem praktischen 4‑Schritte‑Plan, wie Sie Phishing‑Köder erkennen, CEO‑Fraud verhindern, Mitarbeiter schulen und technische Schutzmaßnahmen wie EDR und Netzwerksegmentierung priorisieren. Inklusive Checklisten für IT‑Verantwortliche und praxiserprobten Gegenmaßnahmen. Jetzt Anti-Phishing-Paket sichern

Diese Anpassung macht die Malware kompatibel mit den Open-Source-Frameworks Mythic und Havoc. Diese Plattformen werden eigentlich von legitimen “Red Teams” für Penetrationstests genutzt. Indem Arcane Werewolf seine Werkzeuge an diese Frameworks anpasst, kann er seinen bösartigen Datenverkehr mit legitimen Netzwerkaktivitäten vermischen. Das erschwert die Entdeckung und die Zuordnung der Angriffe erheblich.

So läuft der Angriff ab: Getarnte Exekutive im Temp-Ordner

Die Infektion beginnt mit präzise zugeschnittenen Spear-Phishing-E-Mails. Die potenziellen Opfer erhalten Nachrichten, die legitime Organisationen, nationale Aufsichtsbehörden oder Geschäftspartner imitieren. Diese E-Mails enthalten einen Link zu einem ZIP-Archiv auf einer kompromittierten oder gefälschten Domain.

Lädt das Opfer das Archiv herunter und extrahiert es, findet es eine schädliche LNK-Verknüpfungsdatei. Das Öffnen dieser Datei startet eine versteckte Ausführungskette:
1. Dropper-Ausführung: Ein C++-Dropper wird ausgeführt, der die Nutzlast aus seinem Ressourcenabschnitt extrahiert.
2. Persistenz: Die Malware schreibt sich selbst auf die Festplatte, konkret unter C:WindowsTempcsrss64.exe, und tarnt sich so als legitimer Windows-Prozess.
3. Köder-Dokument: Um das Misstrauen des Nutzers zu zerstreuen, öffnet die Malware gleichzeitig ein Köder-PDF-Dokument – oft mit Themen wie “interne Untersuchung” oder regulatorischer Compliance.
4. C2-Kommunikation: Der Loki 2.1-Loader sammelt Host-Informationen, verschlüsselt sie mit AES, kodiert sie in Base64 und sendet sie an den Command-and-Control-Server der Angreifer.

Einzigartig ist, dass dieser neueste Loader das Implantat nicht erst aus dem Internet nachlädt. Er trägt ein lokales, verbessertes Loki-Implantat in sich. Das ermöglicht eine sofortige Kompromittierung, selbst wenn der anfängliche Netzwerk-Rückruf blockiert wird.

Fokus auf kritische Fertigung: Angriff auf die Lieferkette

Die Hauptziele dieser Kampagne sind russische Fertigungsunternehmen – ein Sektor, der 2025 zunehmend unter Druck von Cyber-Spionagegruppen geriet. Arcane Werewolf zeigt ein tiefes Verständnis der Lieferketten seiner Ziele. Die Gruppe registriert Domain-Namen, die legitimen Partnern und Lieferanten täuschend ähnlich sehen, um die Glaubwürdigkeit ihrer Phishing-Köder zu erhöhen.

“Gegner senden oft Phishing-E-Mails, die große oder bekannte Organisationen imitieren… Je stärker eine Marke, desto wahrscheinlicher ist es, dass Bedrohungsakteure ihre Identität ausnutzen”, so die BI.ZONE-Forscher. Durch die Nachahmung des visuellen Erscheinungsbildes und des Kommunikationsstils vertrauenswürdiger Stellen umgeht die Gruppe erfolgreich die Skepsis von Mitarbeitern.

Dieser Fokus auf die industrielle Basis legt nahe, dass es das Ziel ist, Informationen über Produktionskapazitäten, Lieferkettenlogistik oder geistiges Eigentum zu sammeln – und nicht um unmittelbaren finanziellen Gewinn durch Ransomware.

Was bedeutet dieser Angriff für die Sicherheitslandschaft?

Der Wechsel zu Loki 2.1 und die Übernahme von Frameworks wie Mythic spiegeln einen breiteren Wandel in der Cyber-Bedrohungslandschaft wider. Bedrohungsakteure bewegen sich zunehmend von vollständig eigenen, proprietären C2-Infrastrukturen hin zu Open-Source-Frameworks. Dieser “Living-off-the-Land”-Ansatz ermöglicht es ihnen, ausgefeilte Fähigkeiten mit geringeren Entwicklungskosten einzusetzen und gleichzeitig die Zuordnung zu erschweren.

Sicherheitsexperten betonen, dass diese Standardisierung der Werkzeuge sie nicht weniger gefährlich macht. Im Gegenteil: Sie erlaubt Gruppen wie Arcane Werewolf, schneller zu iterieren. Der rasante Übergang von Loki 2.0 zu 2.1 zeigt einen agilen Entwicklungszyklus, der schnell auf defensive Gegenmaßnahmen reagieren kann.

Schutzmaßnahmen: Verhaltensanalyse statt Signatur-Erkennung

Da Arcane Werewolf sein Arsenal weiter verfeinert, sind Organisationen im Fertigungs- und Industriesektor aufgefordert, eine proaktive Sicherheitshaltung einzunehmen. Die Abhängigkeit von signaturbasierter Erkennung erweist sich als unzureichend gegen Akteure, die ihre Loader häufig neu kompilieren und modifizieren.

Sicherheitsspezialisten empfehlen folgende Schutzstrategien:
* Endpoint Detection and Response (EDR): Implementieren Sie robuste EDR-Lösungen, die Verhaltensanomalien erkennen können, wie die unerwartete Erstellung von ausführbaren Dateien in temporären Ordnern wie C:WindowsTemp.
* Prozessüberwachung: Überwachen Sie verdächtige Kindprozesse, die von legitimen Anwendungen (z.B. PDF-Readern oder Office-Anwendungen, die PowerShell oder CMD starten) erzeugt werden.
* Netzwerksegmentierung: Beschränken Sie die Fähigkeit interner Arbeitsstationen, mit unbekannten externen IPs zu kommunizieren, insbesondere solchen, die mit dynamischen DNS-Diensten oder kürzlich registrierten Domains verbunden sind.

“Angriffe ähnlich denen von Arcane Werewolf sind nicht nur kritisch zu erkennen, sondern auch zu neutralisieren, bevor sie die Infrastruktur beeinträchtigen”, warnt BI.ZONE. Da die Gruppe keine Anzeichen einer Verlangsamung zeigt, muss sich der Industriesektor auf weitere Varianten der Loki-Malware-Familie Anfang 2026 vorbereiten.

PS: Speziell Produktions‑ und Lieferketten‑Manager sollten nun aktiv werden – dieses Anti‑Phishing‑Paket liefert praxisnahe Vorlagen für Incident‑Response‑Pläne, Checklisten zur Domain‑Überwachung, Vorlagen für Mitarbeiter‑Sensibilisierung und konkrete Maßnahmen zur Reduzierung von CEO‑Fraud‑Risiken. Ideal als Sofortmaßnahmen für IT‑Leitung und Sicherheitsbeauftragte, um Phishing‑Angriffe frühzeitig zu stoppen. Anti-Phishing-Guide jetzt herunterladen