NarwhalRAT: Nordkoreanische Hacker kapern Microsoft-Sicherheitsmails

Sicherheitsforscher haben die Angriffe am heutigen Montag aufgedeckt – und die Spur führt direkt nach Pjöngjang.

Die nordkoreanische Hackergruppe APT37 nutzt gefälschte Microsoft-Kontobenachrichtigungen, um ihre Opfer zu ködern. Das Ziel: Datenklau und Überwachung aus der Ferne. Besonders perfide: Die Angreifer tarnen sich als offizielles Microsoft-Sicherheitsteam.

Rekord-Schäden durch Phishing zeigen, wie professionell Hacker heute vorgehen und selbst erfahrene Mitarbeiter täuschen können. Dieser kostenlose Leitfaden hilft Unternehmen, Phishing-Angriffe frühzeitig zu stoppen und sich effektiv gegen Cyberkriminalität zu schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

So funktioniert die perfide Masche

Die Attacke beginnt mit gezielten Phishing-Mails. Die Absender geben sich als „Microsoft Account Team“ aus. Die Betreffzeilen warnen vor angeblichen Sicherheitsvorfällen – etwa vor wiederholten Einmalpasswort-Anfragen oder Authentifizierungscodes.

Die Empfänger werden aufgefordert, ihre Sicherheitseinstellungen zu überprüfen. Dazu sollen sie einen ZIP-Anhang öffnen. Darin verbirgt sich eine manipulierte LNK-Datei – meist mit dem harmlos klingenden Namen „Cyber Security Advisory“. Ein Klick genügt, und die Infektionskette läuft an: PowerShell wird gestartet, eine Batch-Datei heruntergeladen und schließlich die eigentliche Python-Schadsoftware installiert.

NarwhalRAT: Ein digitaler Spionageapparat

Der Trojaner ist mit über 30 verschiedenen Funktionen ausgestattet. Die Angreifer erhalten damit praktisch die vollständige Kontrolle über infizierte Rechner. Zu den Fähigkeiten von NarwhalRAT gehören:

• Keylogging: Aufzeichnung sämtlicher Tastatureingaben
• Bildschirmaufnahmen: Echtzeit-Überwachung des Desktops
• Mikrofon-Zugriff: Abhören von Gesprächen
• USB-Diebstahl: Kopieren von Dateien angeschlossener Geräte
• Fernsteuerung: Ausführung beliebiger Befehle durch die Hacker

Um nicht aufzufallen, tarnt sich die Malware geschickt. Sie legt ein Arbeitsverzeichnis mit dem Namen „naverwhale“ an – eine Anspielung auf den legitimen Naver-Whale-Browser, der in Südkorea weit verbreitet ist. Zudem erkennt die Software geöffnete KakaoTalk-Fenster, was auf eine gezielte Überwachung von Kommunikationsdiensten hindeutet. Gestohlene Daten werden zunächst lokal zwischengespeichert, bevor sie abfließen – das reduziert verdächtigen Netzwerkverkehr.

Ob Keylogging oder Fernsteuerung – moderne Cyber-Bedrohungen entwickeln sich rasant weiter und erfordern ein proaktives Handeln von Unternehmern. Dieser kostenlose Report klärt auf, wie Sie bestehende Sicherheitslücken schließen und Ihre IT-Infrastruktur ohne hohe Investitionen langfristig absichern. Gratis-E-Book: Cyber-Bedrohungen abwenden

Die Infrastruktur der Angreifer

Die Hacker nutzen ein komplexes Netzwerk aus Kommando- und Kontrollservern (C2). Dazu gehören kompromittierte südkoreanische Websites wie fe01.co.kr und webhostingkorea.com. Besonders raffiniert: Auch der legitime Cloud-Dienst pCloud wird als „toter Briefkasten“ für Anweisungen und Datenabflüsse missbraucht.

Die Sicherheitsforscher des Genians Security Center haben die Kampagne APT37 zugeordnet. Die Taktiken ähneln einem Angriff vom Mai 2025 – ebenfalls mit einem Python-basierten Hintertür-Trojaner. Die Gruppe verfeinert offenbar kontinuierlich ihre Werkzeuge und Liefermethoden, während der Fokus auf Ziele auf der koreanischen Halbinsel erhalten bleibt.

Für Unternehmen und Privatnutzer gilt: Misstrauen ist angebracht, wenn unerwartete Sicherheitsmails von Microsoft mit ZIP-Anhängen eintreffen. Im Zweifel lieber direkt beim offiziellen Microsoft-Support nachfragen – statt auf dubiose Links oder Dateien zu klicken.

de | wissenschaft | 69542924 |