Im Jahr 2025 zeigt die Bedrohungslage durch Schadsoftware eine deutliche Verschärfung, insbesondere durch einen explosionsartigen Anstieg der Verbreitung von PureRAT-Malware. Laut aktuellen Erkenntnissen des renommierten Cybersicherheitsanbieters Kaspersky hat sich die Anzahl der Angriffe mit dieser Malware im Vergleich zum Vorjahr vervierfacht. Besonders betroffen sind russische Unternehmen, die gezielt im Rahmen einer ausgefeilten Phishing-Kampagne attackiert werden. Diese Entwicklung verdeutlicht die zunehmende Raffinesse und Hartnäckigkeit moderner Cyberangreifer, die ihr Augenmerk vor allem auf hohe finanzielle und strategische Werte legen. Die Angriffe erreichen nicht nur eine vielfach gesteigerte Frequenz, sondern zeichnen sich durch komplexe Angriffsketten und vielseitige Funktionen aus, die über reine Datenexfiltration hinausgehen.
Der Einsatz von PureLogs, einem leistungsstarken Information-Stealer, unterstreicht die Ernsthaftigkeit der Bedrohung für betroffene Firmen und deren Infrastruktur. Die Angriffskampagne nahm bereits im März 2023 ihren Anfang und hat sich seitdem stetig weiterentwickelt. Im ersten Drittel des Jahres 2025 kam es zu einem dramatischen Anstieg der Infektionsversuche, was auf eine Intensivierung der Ziele und Strategien seitens der Angreifer hindeutet. Die Verteilung des Schaddateien erfolgt primär über gezielte Phishing-Mails, die zweifach verschlüsselte Anhänge in Form von Archivdateien enthalten. Diese Archive imitieren häufig legitime Dokumenttypen, beispielsweise Microsoft Word oder PDF-Dateien, indem sie sogenannte Doppelendungen verwenden.
Diese Taktik erschwert für viele Nutzer und Standard-Sicherheitslösungen die Identifikation der Bedrohung erheblich. Nach dem Öffnen der schädlichen Datei beginnt die Malware ihren Angriff. Der gestartete ausführbare Code verschiebt sich heimlich in das Verzeichnis %AppData% unter dem Namen „task.exe“ und legt zusätzlich ein Visual Basic Script namens „Task.vbs“ im Autostart-Ordner ab.
Durch diese Maßnahmen stellt sich die Persistenz der Malware sicher, da sie automatisch mit jedem Systemstart aktiv wird. Im Anschluss wird ein zweiter Prozess initiiert. Dabei handelt es sich um eine Ausführungskette, in der das Zwischenausführbare „ckcfb.exe“ gestartet wird, welches einen weiteren DLL-Code mit dem Namen „Spydgozoi.dll“ entschlüsselt und aktiviert.
Diese DLL repräsentiert im Kern die Hauptfunktionalität der PureRAT-Malware. Über eine verschlüsselte SSL-Verbindung stellt PureRAT eine Rückverbindung zu einem Command-and-Control-Server (C2) her. Dort werden systemrelevante Informationen übertragen, etwa Details zu installierten Antivirenprogrammen, Computername sowie die Laufzeit seit dem letzten Neustart. Aufgrund dieser Daten kann der Angreifer gezielte zusätzliche Module nachladen, um das befallene System umfassend zu kontrollieren und auszubeuten. Die Bandbreite der Module umfasst Funktionen zur Selbstlöschung, Systemneustart, sowie das unbemerkte Überwachen der aktiven Fenster.
Besonders alarmierend ist die Fähigkeit bestimmter Plugins, gezielt nach Begriffen wie „Passwort“, „Bank“ oder „WhatsApp“ zu suchen und bei Erkennung entsprechende Aktivitäten abzufangen beziehungsweise zu manipulieren. Eine weitere besorgniserregende Funktion ist die sogenannte Clipboard-Manipulation. Dabei wird die Zwischenablage des Nutzers, speziell bei Kopieren von Kryptowährungs-Wallet-Adressen, heimlich verändert. Die ursprüngliche Adresse wird durch eine vom Angreifer kontrollierte ersetzt, um Transaktionen unbemerkt umzuleiten. Diese Art von Clipper-Malware eröffnet direkte finanzielle Gefahren und stellt für Unternehmen einen erheblichen wirtschaftlichen Schaden dar.
Darüber hinaus verfügt PureRAT über umfangreiche Spyware-Fähigkeiten. Sie ermöglicht den Zugriff auf das gesamte Dateisystem, die Windows-Registry und aktive Prozesse. Über Kameras und Mikrofone können Gespräche und beispielsweise räumliche Gegebenheiten unbemerkt aufgezeichnet werden. Die integrierte Keylogger-Funktion erfasst sämtliche Tastatureingaben, sodass auch Passwörter, vertrauliche Mitteilungen und andere sensible Daten abgegriffen werden können. Mittels Remote-Desktop-ähnlicher Kontrolle können Angreifer außerdem das infizierte System wie ihren eigenen Computer nutzen und somit komplexe Operationen ausführen.
Ergänzend zu PureRAT wird eine weitere Malware namens „StilKrip.exe“ eingesetzt, ein kommerzieller Downloader mit dem Handelsnamen PureCrypter, der bereits seit 2022 im Einsatz ist. Dieser Downloader dient als Einstiegspunkt für weitere schadsoftwarebasierte Angriffe. StilKrip lädt eine kodierte „Bghwwhmlr.wav“-Datei herunter, welche eine Folge weiterer schädlicher Aktionen auslöst und letztendlich die Ausführung von „Ttcxxewxtly.
exe“ initiiert. Diese Datei beschäftigt sich mit der Aktivierung von PureLogs, einem eigenständigen Information-Diebstahl-Modul. PureLogs stellt ein hochentwickeltes Datendiebstahl-Tool dar, das speziell darauf ausgelegt ist, sensible Informationen aus diversen Anwendungen auszulesen. Dazu gehören Webbrowser, gängige E-Mail-Clients, VPN-Programme, Messaging-Apps, Erweiterungen für Krypto-Wallets sowie Passwort-Manager. Selbst FTP-Programme wie FileZilla und WinSCP sind vor dieser Malware nicht sicher.
Über diese breite Palette an Zielprogrammen können Angreifer umfassend Zugangsdaten, vertrauliche Kommunikation und Finanzinformationen abgreifen. Dies bedeutet, dass Unternehmen nicht nur direkt durch die hintertürartige Kontrolle gefährdet sind, sondern auch über die kompromittierten Konten und Accounts erheblichen Schaden erleiden können. Die Auswirkungen dieser Malware-Aktivitäten sind vielschichtig und reichen von Geschäftsausfallzeiten durch Systemmanipulation bis hin zur Offenlegung von Geschäftsgeheimnissen und personenbezogenen Daten. Besonders kritisch ist die Tatsache, dass die Angriffskampagne auf Unternehmen ausgerichtet ist, die wichtige Wirtschaftssektoren und somit potenziell auch kritische Infrastruktur betreiben. Das ermöglicht den Angreifern nicht nur wirtschaftlichen Schaden, sondern eröffnet unter Umständen auch Eingriffsmöglichkeiten auf strategischer Ebene.
Der Hauptverteidigungsvektor gegen diese Malware sind weiterhin vorsichtige und gut geschulte Anwender sowie robuste E-Mail-Sicherheitslösungen. Da die Infektion hauptsächlich über Phishing erfolgt, sind Awareness-Programme unverzichtbar, um Mitarbeiter für die Gefahren externer Anhänge und Links zu sensibilisieren. Ergänzend sind technische Maßnahmen wie mehrstufige Authentifizierung, Netzwerksegmentierung und proaktive Bedrohungserkennung notwendig. Unternehmen sollten verstärkt in moderne Endpoint-Security-Lösungen investieren, die signaturbasierte und verhaltensbasierte Erkennung kombinieren, um sowohl bekannte als auch neuartige Bedrohungen zu identifizieren. Darüber hinaus gewinnen regelmäßige Sicherheitsupdates und Patching der eingesetzten Software entscheidende Bedeutung, da die Malware auch legitime Windows-Systemtools wie InstallUtil.
exe missbraucht, um schädliche Module einzuschleusen. Die Absicherung der Windows-Umgebung durch gezielte Hardening-Maßnahmen minimiert Angriffsflächen weiter. Gleichzeitig empfehlen Sicherheitsexperten eine kontinuierliche Netzwerküberwachung, um verdächtige Datenverbindungen zu C2-Servern schnell erkennen und unterbinden zu können. Neben technischen Vorkehrungen ist auch die Zusammenarbeit mit staatlichen Sicherheitsbehörden und Cybersicherheitsfirmen entscheidend. Durch Informationsaustausch und gemeinsame Analysen lassen sich Angriffsmuster schneller erkennen und entsprechende Gegenmaßnahmen einleiten.
Firmen aus Russland sollten sich zudem auf mögliche rechtliche und regulatorische Anforderungen zur Meldung von IT-Sicherheitsvorfällen einstellen und vorbereitet sein, im Ernstfall schnell und adäquat reagieren zu können. Die Entwicklung von PureRAT und seiner begleitenden Tools wie PureLogs reflektiert einen deutlichen Trend im Cybercrime-Umfeld hin zu modularen, multifunktionalen Malware-Komplexen. Diese zeichnet aus, dass sie nicht nur einen einzigen Zweck erfüllen, sondern eine Vielzahl von Angriffsbildern abdecken. Dies ermöglicht es Angreifern, flexibel auf Veränderungen in der Sicherheitslandschaft zu reagieren und gezielte Angriffe mit unterschiedlichen Zielen durchzuführen – von Datendiebstahl über finanzielle Manipulation bis zu Spionage und Sabotage. Insgesamt verdeutlicht die Vervierfachung der PureRAT-Angriffe im Jahr 2025 eine alarmierende Verschärfung der Cyberbedrohungen, besonders für russische Unternehmen, die aufgrund der geopolitischen Lage verstärkt im Fokus stehen.
Die Kombination aus fortschrittlichen technischen Funktionen, gezieltem Einsatz von Spionagetools und psychologisch ausgeklügelten Phishing-Kampagnen erhöht die Erfolgschancen der Angreifer und stellt die Verteidiger vor komplexe Herausforderungen. Umso wichtiger ist es für Unternehmen, eine ganzheitliche Sicherheitsstrategie zu verfolgen, die sowohl technische, organisatorische als auch personelle Aspekte umfasst. Nur eine koordinierte und nachhaltige Herangehensweise kann verhindern, dass raffinierte Schadsoftware wie PureRAT und PureLogs Unternehmen empfindliche Verluste zufügen und ihre operative Stabilität gefährden. Die Entwicklung in diesem Bereich sollte kontinuierlich beobachtet werden, um frühzeitig auf neue Varianten und Taktiken reagieren zu können. Cyberabwehrteams sind gefordert, ihre Methoden ständig anzupassen und eng mit anderen Akteuren im Sicherheitssektor zusammenzuarbeiten.
Auf diese Weise lässt sich die wachsende Gefahr durch moderne Malware-Kampagnen zumindest eindämmen und kontrollieren. Die Zeiten einfachen Virenschutzes sind endgültig vorbei; die Zukunft gehört ganzheitlicher, intelligenter und vernetzter Sicherheitssysteme, die im Verbund menschliches Know-how und automatisierte Technologien nutzen, um effektiven Schutz zu gewährleisten.
