LOSTKEYS-Malware: Ein heimliches Spionagetool im Visier des Westens
Eine neue Schadsoftware namens LOSTKEYS hat sich als bevorzugtes Werkzeug in einer Reihe verdeckter Cyber-Operationen mit politischem Hintergrund herausgestellt. LOSTKEYS wurde erstmals Ende 2023 entdeckt und war bis Anfang 2025 aktiv im Einsatz. Es ist Teil einer strategischen Neuausrichtung der mit Russland verbundenen Hackergruppe COLDRIVER, die für ihre Cyber-Spionagekampagnen gegen hochrangige westliche Personen und Institutionen bekannt ist.
Im Gegensatz zu herkömmlicher Malware, die auf Massenstörungen oder Finanzdiebstahl ausgelegt ist, ist LOSTKEYS auf hochselektive, informationsbasierte Angriffe zugeschnitten. Sein Hauptzweck besteht darin, unbemerkt in Systeme einzudringen, vertrauliche Dateien zu exfiltrieren und wichtige Systemdaten zu übermitteln – und das alles, ohne entdeckt zu werden.
Table of Contents
Was ist LOSTKEYS?
LOSTKEYS ist ein speziell entwickeltes Schadprogramm, das bestimmte Dateitypen aus bestimmten Ordnern auf dem Computer eines Opfers extrahieren kann. Neben dem Sammeln von Dateien überträgt es auch Systeminformationen und laufende Prozesse an die Angreifer. Das Besondere an LOSTKEYS ist seine Präzision: Es zielt ausschließlich auf Systeme ab, die als wertvoll gelten. Damit ist es ein Tool, das eher für Spionage als für groß angelegte Angriffe konzipiert ist.
Der Name der Schadsoftware suggeriert zwar Zufälligkeit, doch ihr Einsatz ist alles andere als zufällig. Sie wurde bei Angriffen auf Regierungsberater, Militärangehörige, Journalisten, Think Tanks, NGOs und Personen mit Verbindungen zur Ukraine beobachtet. Der spezifische und begrenzte Umfang dieser Ziele deutet darauf hin, dass sie eher der Informationsbeschaffung als kriminellen Zwecken dienen.
Wie funktioniert es?
Der Infektionsprozess beginnt mit einer fortgeschrittenen Form des Social Engineering, bekannt als ClickFix . Opfer werden mit einer gefälschten CAPTCHA-Aufgabe auf eine Schein-Website gelockt. Im Glauben, ihre Identität zu bestätigen, werden Benutzer aufgefordert, einen PowerShell-Befehl zu kopieren und ihn über das Windows-Dialogfeld „Ausführen“ auszuführen. Dieser Befehl leitet die Malware-Downloadkette ein.
Es folgt ein mehrstufiger Prozess, der die Erkennung verhindern soll. Die erste Payload führt Umgebungsprüfungen durch, um wahrscheinlich festzustellen, ob sie in einer virtuellen Maschine ausgeführt wird – ein übliches Phänomen in Malware-Analyselaboren. Sind die Umgebungsprüfungen erfolgreich, ruft der Befehl ein Base64-codiertes Skript ab, das schließlich die LOSTKEYS-Malware ausführt. Anschließend scannt es das Hostsystem nach vordefinierten Dateitypen und Verzeichnissen und sendet die Daten an einen Remote-Server.
Wer steckt dahinter?
LOSTKEYS wurde der Bedrohungsgruppe COLDRIVER zugeschrieben, die auch unter Namen wie Callisto, Star Blizzard und UNC4057 bekannt ist. Traditionell nutzte diese Gruppe Anmeldeinformationen, um auf E-Mail-Konten zuzugreifen und vertrauliche Daten zu stehlen. LOSTKEYS und sein Vorgänger SPICA weisen jedoch in eine neue Richtung: direkte Gerätekompromittierung und Datenextraktion.
Sicherheitsexperten weisen darauf hin, dass COLDRIVER typischerweise geopolitische Motive verfolgt. Seine Ziele und Taktiken orientieren sich eng an staatlich unterstützten Spionagebemühungen, und seine früheren Kampagnen zeigten ein Interesse an der westlichen Außenpolitik, der Verteidigung und den Medien.
Auswirkungen von LOSTKEYS
Das Auftauchen von LOSTKEYS spiegelt einen größeren Trend in der Cybersicherheit wider: die Kombination von irreführendem Social Engineering mit maßgeschneiderter Malware zur gezielten Überwachung. Diese Taktiken sind subtil, effektiv und schwer nachzuvollziehen, sodass die Opfer oft gar nicht merken, dass sie kompromittiert wurden.
Die Auswirkungen sind erheblich. Für Behörden und Organisationen, die mit sensiblen Themen arbeiten, insbesondere mit Bezug zu Osteuropa, ist das Risiko stiller Datenlecks so hoch wie nie zuvor. Da LOSTKEYS nicht darauf ausgelegt ist, Daten zu zerstören oder zu stören, sondern heimlich abzugreifen, kann seine Existenz lange Zeit unentdeckt bleiben.
Darüber hinaus zeigt der zunehmende Einsatz von Taktiken wie ClickFix, wie sich Angreifer anpassen. Anstatt zu versuchen, verstärkte Abwehrmechanismen zu durchbrechen, nutzen sie menschliches Verhalten aus und bringen Benutzer dazu, selbst schädliche Befehle auszuführen. Mit diesem Ansatz können viele herkömmliche Sicherheitskontrollen und Virenschutzmaßnahmen umgangen werden.
Ein breiterer Trend
LOSTKEYS agiert nicht isoliert. Andere Bedrohungsakteure haben die ClickFix-Methode zweckentfremdet, um verschiedene Malware-Varianten zu verbreiten, darunter Banking-Trojaner und Mac-spezifische Datendiebe. Techniken wie EtherHiding , das Schadcode in Blockchain-Transaktionen versteckt, werden in diese Kampagnen integriert, was die Erkennung zusätzlich erschwert.
Ein Forscher deckte kürzlich eine massive Kampagne namens MacReaper auf, bei der über 2.800 legitime Websites manipuliert wurden, um gefälschte CAPTCHA-Seiten bereitzustellen. Diese irreführenden Einstiegspunkte dienen verschiedenen Malware-Familien, darunter Atomic Stealer , die auf macOS-Systeme abzielen.
Informiert und sicher bleiben
Obwohl die technische Komplexität von LOSTKEYS und seinen Bereitstellungsmechanismen besorgniserregend ist, bleibt Wachsamkeit die beste Verteidigung. Benutzer sollten vorsichtig sein, wenn sie aufgefordert werden, unbekannte Befehle auszuführen oder mit unerwarteten Webformularen zu interagieren. Unternehmen, insbesondere solche, die mit sensiblen Daten oder Richtlinien arbeiten, sollten weiterhin in Schulungen, Endpunktschutz und Bedrohungsanalyse investieren.
LOSTKEYS erinnert daran, dass moderne Bedrohungen oft subtil auftreten. Nicht die Lärmmacher, sondern die leisen Betreiber stellen im digitalen Zeitalter möglicherweise das größte Sicherheitsrisiko dar.
