QuimaRAT, Trojaner

QuimaRAT: Neuer Trojaner mietet sich als Malware-Dienst für 150 Dollar

06.07.2026 - 15:38:31 | boerse-global.de

Die Malware QuimaRAT wird als Dienstleistung für 150 Euro monatlich angeboten und kann Windows, macOS sowie Linux befallen.

QuimaRAT: Neue Schadsoftware als Abo-Modell für Hacker
QuimaRAT - Stilisierte, leuchtende digitale Ratte als Malware-Symbol auf dunkler Leiterplatte mit Neon-Akzenten. 06.07.2026 - Bild: über boerse-global.de

Die modular aufgebaute Schadsoftware kann alle gängigen Betriebssysteme infizieren – und wird als Dienstleistungsmodell vermietet.

Sicherheitsforscher von LevelBlue haben die Bedrohung am heutigen Montag identifiziert. QuimaRAT wird als Malware-as-a-Service (MaaS) angeboten: Kriminelle zahlen eine monatliche Gebühr und erhalten dafür ein umfassendes Werkzeugpaket zur Fernsteuerung kompromittierter Systeme.

Abo-Modell für Cyberkriminelle

Die Entwickler von QuimaRAT setzen auf ein kommerzielles Preismodell. Der Zugang zur Schadsoftware kostet 150 US-Dollar pro Monat – etwa 135 Euro. Wer langfristig plant, kann eine Lebenszeitlizenz für 1.200 US-Dollar (rund 1.080 Euro) erwerben.

Das Paket enthält ein vollständiges Arsenal: das Quima Control Panel zur Steuerung, einen Payload-Builder, einen Loader und einen Dropper. Besonders auffällig ist die modulare Architektur: Das Control-Panel verfügt über 74 Module für Windows sowie 46 Module für macOS und Linux.

Der Quima Builder generiert Schadcode in verschiedenen Formaten – darunter JAR, EXE, APP, SH, BAT und VBS. Das erleichtert Angriffe auf unterschiedliche IT-Umgebungen erheblich.

Tricksreiche Tarnung und Ausweichmanöver

Um in Systeme einzudringen, nutzt QuimaRAT einen spezialisierten Loader, der Sicherheitsfunktionen wie Microsofts SmartScreen umgeht. Die Methode: Der Schadcode wird über den Browser-Cache eingeschleust. Der Dropper verwendet zudem HTML- und SVG-Dateien, um die eigentliche Schadsoftware auf das Zielsystem zu bringen.

Anzeige

Wer die neue QuimaRAT-Bedrohung für sein Unternehmen einordnen will, findet in diesem kostenlosen Report die wichtigsten Schutzmaßnahmen – von Erkennung bis Notfallplan. Jetzt kostenlosen Schutz-Report anfordern

Die Malware verfügt über mehrere Erkennungs- und Stabilisierungsfunktionen. Sie führt betriebssystemspezifische Virtualisierungsprüfungen durch, um Sandbox-Umgebungen oder Analyse-Tools zu erkennen. Ein spezieller .lock-Datei stellt sicher, dass nur eine Instanz des Trojans gleichzeitig aktiv ist. Die Konfigurationsdaten werden mittels XOR-Verschlüsselung in einer „config.dat"-Datei geschützt.

Hartnäckige Verankerung im System

Ist ein System erst einmal infiziert, sorgt QuimaRAT für dauerhaften Zugriff – abgestimmt auf das jeweilige Betriebssystem:

  • Windows: Registry-Run-Keys und geplante Tasks
  • Linux: .desktop-Einträge und Crontab-Konfigurationen
  • macOS: LaunchAgent-Plist-Dateien

Die Kommunikation mit den Kommando-Servern (C2) ist flexibel gestaltet. Unterstützt werden Protokolle wie TCP, WebSocket, TLS und HTTPS. Fällt ein C2-Server aus, springt eine Watchdog-Funktion ein – sie nutzt Pastebin-basierte Host-Updates, um auf neue Infrastruktur umzuschalten.

Zukunftspotenzial der Bedrohung

Anzeige

IT-Sicherheitsverantwortliche, die bereits verdächtige Aktivitäten im Netzwerk beobachten, brauchen jetzt einen klaren Fahrplan zur Identifikation von QuimaRAT-Infektionen – bevor die modulare Malware persistente Hintertüren installiert. Dieser Leitfaden liefert konkrete Erkennungs-Tools und C2-Analyse-Schritte. QuimaRAT-Erkennungsleitfaden jetzt sichern

Die Forscher haben bisher 23 implementierte Befehle identifiziert. Doch das Protokoll enthält insgesamt 212 protokollspezifische Definitionen – ein klares Zeichen, dass die Entwickler noch viel vorhaben. QuimaRAT dürfte in den kommenden Monaten weiter ausgebaut werden.

Für Unternehmen und Privatanwender heißt das: Wachsamkeit ist geboten. Regelmäßige Updates, aktuelle Antiviren-Software und ein kritischer Umgang mit E-Mail-Anhängen bleiben die wirksamsten Schutzmaßnahmen.

de | wissenschaft | 69706034 |