In der zunehmend digitalisierten Welt stellt Cyberkriminalität eine der größten Herausforderungen für Unternehmen, Regierungen und private Nutzer dar. Besonders besorgniserregend sind dabei die Aktivitäten von staatlich unterstützten Hackergruppen, die mit immer raffinierteren Methoden ihre Angriffe durchführen. Ein aktuelles Beispiel dafür ist die russisch staatlich unterstützte Hackergruppe COLDRIVER, die laut einem Bericht von Google Threat Intelligence eine neue Malware namens LOSTKEYS entwickelt hat, um westliche Ziele gezielt auszuspähen und Daten zu stehlen. Das Vorgehen und die Fähigkeiten dieser Malware werfen ein grelles Licht auf die Entwicklungen im Bereich der Cyber-Bedrohungen und verdeutlichen, wie wichtig effektive Schutzmaßnahmen geworden sind. LOSTKEYS repräsentiert einen neuen Schritt in der Taktik von COLDRIVER.
Während die Gruppe zunächst vor allem für ihre relativ einfache Strategie der Credential-Phishing-Attacken bekannt war, hat sie ihre Vorgehensweise weiter perfektioniert. Die aktuelle Schadsoftware ist in der Lage, die Kontrolle über infizierte Systeme zu übernehmen, sensible Dateien zu stehlen und Systeminformationen auszulesen, was auf ein erhebliches Eskalationspotenzial hinweist. Der Angriff ist zielgerichtet auf hochrangige westliche Akteure, darunter ehemalige Diplomaten und Journalisten, die aufgrund ihres Einflusses interessante Ziele für Spionage und Informationsdiebstahl darstellen. Der Infektionsprozess von LOSTKEYS erfolgt über einen mehrstufigen Angriffsvektor, der speziell auf die Umgehung von Sicherheitssystemen ausgelegt ist. Ausgangspunkt ist eine sogenannte „Lure Website“, die den Nutzer mit einer gefälschten CAPTCHA-Abfrage täuscht.
Wird diese scheinbar harmlose CAPTCHA-Eingabe bestätigt, lädt der Angriffsmechanismus ein PowerShell-Skript herunter, das über die Zwischenablage des Gerätes ausgeführt wird. Dieses Skript ist für die Umgehung von Sicherheitsvorkehrungen verantwortlich und sorgt anschließend für das Herunterladen und die Installation des finalen Schadprogramms. Die Komplexität dieses Ansatzes macht es schwierig, die Installation von LOSTKEYS frühzeitig zu erkennen oder zu verhindern. Die Schadsoftware LOSTKEYS agiert dabei mit großem Fokus auf Datendiebstahl. Sie ist darauf ausgelegt, gezielt Dateien aus vorher festgelegten Ordnern und mit bestimmten Erweiterungen zu extrahieren.
Darüber hinaus sammelt sie Informationen über laufende Prozesse und überträgt diese an die Kontrollserver der Hackergruppe. Gemäß den Angaben von Google erfolgt die Kommunikation über eine fest codierte IP-Adresse, was es Sicherheitsforschern erleichtert, diese serverbasierten Angriffe zu überwachen und potenziell zu blockieren. Google hat bereits reagiert und entsprechende bösartige Webseiten in sein Safe Browsing-System aufgenommen, um Nutzer vor dem Besuch der kompromittierten Seiten zu schützen. Die Aktivitäten von COLDRIVER sind dabei kein isoliertes Phänomen, sondern Teil einer wachsenden Welle von Cyberangriffen aus dem russischen Kontext, die verstärkt gezielt auf westliche Institutionen und private Akteure ausgerichtet sind. Bereits im Januar 2024 sorgte die Gruppe mit einer anderen Malware namens „Spica“ für Schlagzeilen.
Dieses Tool ermöglichte es Angreifern, beliebige Shell-Befehle auszuführen sowie Daten hoch- und herunterzuladen, wodurch die Gruppe ihre Möglichkeiten zur Ausspähung und zur Kontrolle von infizierten Systemen erheblich ausweiten konnte. Neben den gezielten Cyberangriffen gegen staatliche und journalistische Ziele ist auch die Krypto-Community in erheblichem Maße von derartiger Malware betroffen. Im Jahr 2025 verzeichnet die Branche einen dramatischen Anstieg bei Kryptodiebstählen, die in den ersten drei Monaten bereits einen Rekordwert von zwei Milliarden US-Dollar erreichten. Risiken wie mangelhafte Sicherheitsvorkehrungen und soziale Manipulationstechniken, die auch bei der Verbreitung von LOSTKEYS genutzt werden, sind Hauptursachen für das Ansteigen der Verluste. Die wichtigste Erkenntnis aus dem Fall COLDRIVER und der Malware LOSTKEYS ist die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes.
Dabei müssen technische Maßnahmen wie die Erkennung und Blockierung schädlicher Webseiten mit Awareness-Programmen für Nutzer kombiniert werden, um Phishing-Attacken bereits im Ansatz zu verhindern. Darüber hinaus ist die kontinuierliche Analyse von Bedrohungen und die schnelle Reaktion auf neu entstehende Schadsoftware für den Schutz kritischer Infrastrukturen wesentlich. Unternehmen und Einzelpersonen, die sensible Daten verwalten, insbesondere in den Bereichen Politik, Medien und Finanzwirtschaft, sollten ihre Sicherheitsstrategien regelmäßig überprüfen und anpassen. Google und andere Technologiegiganten spielen hierbei eine zentrale Rolle, indem sie nicht nur Bedrohungen aufdecken, sondern auch proaktiv Schutzmechanismen etablieren und verbreiten. Das Safe Browsing-Feature von Google, das bösartige Webseiten anhand von Analysen sofort blockiert, ist ein Beispiel dafür, wie die Zusammenarbeit zwischen Sicherheitsfirmen und Technologieplattformen allen Nutzern zugutekommt.
Gleichzeitig zeigt dieser Fall auch, wie wichtig es ist, die Zusammenhänge zwischen staatlich geförderten Hackergruppen und den Werkzeuge, die sie nutzen, transparent zu machen. Erkenntnisse über Hintergründe und Taktiken helfen, Gegenmaßnahmen wirksamer zu gestalten und die Verteidigungsbereitschaft zu erhöhen. Die kontinuierliche Weiterentwicklung von Schadsoftware wie LOSTKEYS demonstriert, dass Cyberkriminelle sich nicht auf eine Methode verlassen, sondern ständig neue Wege suchen, die Schwachstellen von Sicherheitssystemen auszunutzen. Insgesamt unterstreicht die Bedrohung durch COLDRIVER und LOSTKEYS, dass Cybersicherheit nicht nur eine technische Herausforderung ist, sondern auch eine politische und gesellschaftliche Dimension besitzt. Der Schutz vor gezielten Angriffen aus dem Ausland erfordert internationale Kooperation, Informationsaustausch und eine enge Verzahnung von öffentlichen und privaten Sektoren.
Nur durch diesen ganzheitlichen Ansatz lässt sich der Schaden durch Cyberangriffe auf westliche Ziele langfristig begrenzen und die digitale Souveränität bewahren. Die zunehmende Komplexität moderner Malware und die gezielte Auswahl hochkarätiger Opfer zeigen, dass Cyberkriminalität heute weit über das traditionelle Bild von Hackergruppen hinausgeht. Es handelt sich um strategische Operationen von Akteuren, die politisch motivierte Ziele verfolgen und dafür erhebliche Ressourcen einsetzen. Daher ist es entscheidend, im Zeitalter der Digitalisierung wachsam zu sein und Sicherheitsmaßnahmen fortlaufend anzupassen, um sich gegen die Bedrohungen durch Gruppen wie COLDRIVER und ihre Werkzeuge wie LOSTKEYS zu wappnen.
