Gamaredon nutzt CVE-2025-8088: 35 Angriffe auf Ukraine-Ziele
26.06.2026 - 12:39:13 | boerse-global.de
Mehrere russischsprachige Hackergruppen nutzen gezielt eine Schwachstelle im Archivprogramm WinRAR, um an sensible Daten ukrainischer Organisationen zu gelangen. Die Angreifer setzen dabei auf raffinierte Techniken und zunehmend auch auf Cloud-Dienste.
GIFTEDCROOK: Neue Schadsoftware im Umlauf
Cybersicherheitsforscher haben eine Kampagne der Gruppe UAC-0226 identifiziert, die eine sogenannte Path-Traversal-Schwachstelle in WinRAR ausnutzt. Die Angreifer verteilen manipulierte Archive, die beim Öffnen den Informationsdieb GIFTEDCROOK installieren.
Der Angriff beginnt mit einem präparierten Archiv. Öffnet ein Nutzer die Datei, legt der Schadcode eine Verknpfung im Autostart-Ordner ab – das stellt sicher, dass die Malware bei jedem Systemstart aktiv wird. Ein PowerShell-basierter Lader injiziert anschließend einen kopflosen Payload über einen Reflective Mapper.
Die Hauptziele von GIFTEDCROOK: Passwörter und Zugangsdaten aus Webbrowsern, OpenVPN-Konfigurationen, dem Passwortmanager KeePass sowie Java-KeyStores. Um die Infektion zu verschleiern, legen die Täter den Archiven oft eine harmlose PDF-Datei bei – eine klassische Ablenkungstaktik.
Der Fall WinRAR zeigt, wie schnell harmlose Dateianhänge zum Einfallstor für Datendiebstahl werden können. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen solche manipulierten Nachrichten schützen kann. Experten-Ratgeber zur Hacker-Abwehr jetzt kostenlos herunterladen
Gamaredon: Noch umfangreichere Angriffswelle
Doch UAC-0226 ist nicht die einzige Gruppe, die WinRAR ins Visier nimmt. Die russlandnahe Gruppierung Gamaredon (auch bekannt als UAC-0010) setzt massiv auf die Schwachstelle CVE-2025-8088. Die Angriffe richten sich fast ausschließlich gegen ukrainische Regierungs- und Militäreinrichtungen.
Gamaredon hat ein ganzes Ökosystem modularer Schadsoftware aufgebaut. Zu den Werkzeugen gehören:
- GammaWorm: Nutzt Telegram zur Kommunikation mit den Angreifern und versteckt sich in NTFS-Alternativdatenströmen
- GammaSteel: Exfiltriert Dateien auf fremdgesteuerte Server oder AWS-S3-Speicher
Die modulare Bauweise erlaubt es der Gruppe, ihre Fähigkeiten ständig anzupassen und neue Funktionen nachzurüsten.
Cloud-Dienste als neuer Unterschlupf
Die Analyse der Aktivitäten zeigt einen strategischen Wandel: Die Hacker missbrauchen zunehmend legitime Cloud-Dienste, um unentdeckt zu bleiben. Für den Datendiebstahl nutzen sie Anbieter wie Wasabi, Tebi und Intercolo. Zur Koordination dienen Plattformen wie Telegram, Dropbox, Telegra.ph und sogar die Entwicklerplattform DEV Community.
Allein im Jahr 2025 führte Gamaredon mindestens 35 Spearphishing-Kampagnen durch und brachte sechs neue PowerShell-Werkzeuge zum Einsatz – darunter PteroPaste, PteroDee und PteroCache.
Hacker nutzen immer raffiniertere psychologische Tricks und technische Schwachstellen, um in Unternehmensnetzwerke einzudringen. Dieser neue Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie man gefährliche Angriffe frühzeitig entlarvt. Anti-Phishing-Paket mit 4-Schritte-Abwehrplan gratis sichern
Gefährliche Allianzen
Besonders besorgniserregend: Die Berichte deuten auf eine wachsende Zusammenarbeit zwischen verschiedenen Hackergruppen hin. Gamaredon hat offenbar mit Turla kooperiert, einer weiteren russlandnahen Advanced Persistent Threat (APT)-Gruppe. Turla wiederum setzt die .NET-Hintertür StockStay gegen ukrainische Ziele und Einrichtungen ein, die sich mit italienischer Außenpolitik befassen.
Diese Allianzen schaffen ein integrierteres und ressourcenstärkeres Umfeld für Spionageoperationen – mit potenziell weitreichenden Folgen für die Sicherheit in der gesamten Region.
