Die Welt der Cyberkriminalität nimmt immer gefährlichere Formen an. Ein aktueller Fall, der besonders viel Aufmerksamkeit erregt, betrifft den chinesischen Druckerhersteller Procolored, der über sechs Monate hinweg unwissentlich Malware durch seine offiziellen Treiber verbreitete. Diese bedenkliche Enthüllung zeigt eindrucksvoll, wie tief Cyberkriminelle mittlerweile in Lieferketten eindringen und welch enorme Schäden sie anrichten können. Die von Procolored verteilte Malware hat insgesamt rund 9,3 Bitcoin von Nutzern erbeutet, was einem Gesamtwert von etwa 950.000 US-Dollar entspricht.
Diese Sicherheitslücke weckt Fragen zur Zuverlässigkeit von Hard- und Softwarelieferketten und legt gewaltige Risiken für Verbraucher und Unternehmen offen. Procolored ist ein in Shenzhen, China, ansässiges Unternehmen, das sich auf digitale Drucklösungen spezialisiert hat und Geräte wie DTF-, UV- und DTG-Drucker herstellt. Seit der Firmengründung im Jahr 2018 konnte sich Procolored schnell auf internationalen Märkten etablieren und verkauft seine Produkte in über 30 Ländern. Besonders in den USA verfügt die Marke über eine große Kundschaft. Umso schockierender war die Entdeckung, dass die offiziellen Druckertreiber mit bösartiger Software infiziert waren und somit die Sicherheit der Nutzer kompromittierten.
Die Infektion wurde zunächst durch einen unabhängigen YouTuber namens Cameron Coward, auch bekannt als Serial Hobbyism, entdeckt. Nach der Installation von Treibern für einen hochpreisigen UV-Drucker von Procolored auf seinem System alarmierte ihn eine Sicherheitssoftware mit Hinweisen auf einen Wurm namens Floxif. Dabei wurde deutlich, dass die Schadsoftware nicht nur eine Sicherheitslücke darstellt, sondern aktiv die komplette Kontrolle über betroffene Systeme erlangen kann. Die erste Reaktion von Procolored war zunächst eine Abwehrhaltung, in der man die Alarmmeldungen als „False Positives“ abtat. Doch weitere Recherchen und Informationen aus der Community verdeutlichten schnell die tatsächliche Bedrohung.
Bedingt durch eine intensive Untersuchung auf Reddit rückte der Vorgang in den Fokus von Cybersicherheitsexperten, darunter Karsten Hahn von der renommierten Firma G Data. Er konnte beweisen, dass in den Treibern zwei Arten von Malware enthalten waren: Zum einen XRedRAT, ein Remote Access Trojaner, der umfassenden Fernzugriff inklusive Tastenanschlag-Logging erlaubt, sowie SnipVex, einen bisher unbekannten Trojaner, der gezielt Bitcoin-Adressdaten in der Zwischenablage der Nutzer manipuliert. Letzteres ist besonders heimtückisch, denn es greift die häufig angewandte Praxis an, beim Übertragen von Bitcoin-Adressen zwischen Wallets oder Börsen die Adressen einfach zu kopieren und einzufügen. SnipVex erkennt diese Adressen und ersetzt sie mit den eigenen, vom Angreifer kontrollierten, Wallet-Adressen. Dadurch fließen die Gelder direkt an die Cyberkriminellen, ohne dass Nutzer es unmittelbar bemerken.
Mindestens sechs unterschiedliche Druckermodelle von Procolored waren von der Infektion betroffen. Die manipulierten Treiber wurden auf Cloud-Diensten wie Mega bereitgestellt und über die offizielle Support-Seite von Procolored verlinkt. Insgesamt fanden Sicherheitsexperten 39 infizierte Dateien, die das Risiko einer umfassenden Verbreitung bestätigten. Die Schadsoftware hat bereits rund 9,3 Bitcoin entwendet, was angesichts des aktuellen Bitcoin-Preises einen Verlust von etwa 950.000 US-Dollar bedeutet.
Das Ausmaß dieser finanziellen Schäden macht den Fall besonders bedrohlich für die betroffenen Anwender und vergrößert die Aufmerksamkeit der gesamten Branche auf Supply-Chain-Angriffe. Supply-Chain-Attacken sind mittlerweile eine anerkannte Bedrohung in der Cybersicherheitslandschaft, bei der nicht direkt das Zielsystem, sondern vorhergehende Glieder in der Lieferkette kompromittiert werden. Kriminelle nutzen hier etwa Lieferanten, Softwareentwicklungspartner oder Produzenten, um in die Systeme der Endkunden einzudringen. Der Fall Procolored zeigt, wie ein Hersteller von Hardware, in diesem Falle Druckern, unbewusst zum Einfallstor für Malware werden kann. Die Geräte selbst waren nicht defekt oder manipuliert, vielmehr kamen die Schadprogramme mit den offiziellen Treibern, also der Software, die notwendig ist, um die Hardware zu betreiben.
Nach der öffentlichen Enthüllung reagierte Procoloreds Muttergesellschaft, die Tiansheng Group, schnell und entfernte die infizierten Treiber von ihren Webseiten. Als Ursache für den Befall gab das Unternehmen an, dass die Infektion während der Datenübertragung mit USB-Sticks zwischen verschiedenen Rechnern aufgetreten sei – ein Prozess, der nicht immer ausreichend gegen Schadsoftware geschützt ist. Dennoch raten Experten von Sicherheitsfirmen zu besonderer Vorsicht und empfehlen allen betroffenen Nutzern, ihre Systeme gründlich mit aktuellen Antivirenlösungen zu scannen und im schlimmsten Fall sogar eine vollständige Neuinstallation durchzuführen. Darüber hinaus bietet Tiansheng mittlerweile neue, saubere Treiberversionen an, die direkt über den technischen Kundendienst angefordert werden müssen. Dennoch bleibt das Vertrauen der Kunden in die Produkte teilweise erschüttert, was langfristig Unternehmen im Digitaldruck- und Hardwaremarkt vor große Herausforderungen stellt.
Die Procolored-Affäre ist eingebettet in einen größeren Kontext wachsender Cyberkriminalität, die sich oft ausgehend von China und umliegenden Regionen auf die internationale Szene ausweitet. Blockchain-Analysen und Recherchen zeigen, dass in der Region und darüber hinaus ein blühendes Ökosystem von illegalen Marktplätzen und organisierter Internetkriminalität existiert. Plattformen wie Xinbi Guarantee, eine chinesischsprachige Telegram-Marketplace, werden genutzt, um verschiedenste Betrugs- und Geldwäschedienstleistungen anzubieten. Diese Plattformen verarbeiten mittlerweile Transaktionen in Milliardenhöhe an USDT-Stablecoins und unterstützen damit groß angelegte, internationale Scams und Cyberschemen. Solche Netzwerke agieren häufig in einem „Garantie“-Modell, in dem Verkäufer eine Art Sicherheitsleistung hinterlegen, um das Vertrauen der Käuferschaft in illegale Geschäfte zu sichern.
Dies zeigt, wie professionell und ausgeklügelt die Organisationen hinter Cyberkriminalität mittlerweile auftreten und wie schwer die Verfolgung durch Behörden wird. Die Verknüpfung der Procolored-Malware mit solchen Strukturen verdeutlicht die Tragweite und internationale Dimension von Angriffen auf Lieferketten und Hersteller. Für Verbraucher und Unternehmen ist aus dieser Situation vor allem zu lernen, dass der Schutz geistiger und digitaler Güter heute nur noch durch ein ganzheitliches Sicherheitskonzept gewährleistet werden kann. Insbesondere bei der Installation von Software für wichtige Hardwarekomponenten wie Drucker sollten Nutzer stets auf die Echtheit der Quelle und auf aktuellste Sicherheitsbewertungen achten. Regelmäßige Updates, Kaspersky- oder G Data-ähnliche Echtzeitschutz-Software sowie Boilerplates für Cybersicherheit sind mittlerweile unverzichtbar.
Aufseiten der Hersteller sollte das Thema Supply-Chain-Sicherheit höher priorisiert werden. Es geht darum, die gesamte Lieferkette rigoros abzusichern – von der Softwareentwicklung über den Datentransfer bis zur Auslieferung an den Endkunden. Ein transparenter Umgang mit Sicherheitsvorfällen sowie schnelle Krisenkommunikation sind essenziell, um Vertrauen zu erhalten und dauerhaften Schaden zu vermeiden. Zusammenfassend zeigt der Fall Procolored, wie gefährlich manipulierte Software selbst in vermeintlich seriösen Kanälen sein kann. Der Diebstahl von Bitcoin im Wert von nahezu einer Million US-Dollar durch bösartige Druckertreiber ist ein Weckruf an die gesamte Branche.
Nur durch verstärkte Präventionsmaßnahmen, verantwortungsbewusstes Handeln von Nutzern und Unternehmen sowie konsequentes Vorgehen von Behörden kann das Risiko solcher Vorfälle minimiert werden. Angesichts der fortschreitenden Digitalisierung und der wachsenden Bedeutung von Kryptowährungen wird Cybersicherheit immer mehr zum zentralen Faktor für den Erfolg und die Glaubwürdigkeit von Unternehmen in der digitalen Ära.
