Du betrachtest gerade EtherRAT: Wie Fake-IT-Support-Anrufe über Microsoft Teams Unternehmen kompromittieren

EtherRAT: Wie Fake-IT-Support-Anrufe über Microsoft Teams Unternehmen kompromittieren

Können Sie sich vorstellen, dass ein simpler Anruf über Microsoft Teams – die Plattform, der Sie täglich vertrauen – ausreicht, um Ihr gesamtes Unternehmensnetzwerk zu kompromittieren? Genau das ist im Sommer 2026 einer Reihe von Organisationen widerfahren, als Angreifer mit einer perfiden Social-Engineering-Kampagne die Fernsteuerung von Rechnern übernahmen und die hochentwickelte EtherRAT-Malware einschleusten. Der Sicherheitsforscher Brian Janower von Palo Alto Networks Unit42 deckte die Kampagne am 28. Juni 2026 auf und veröffentlichte detaillierte Indicators of Compromise (IOCs) auf GitHub. Die Bedrohung zeigt, wie geschickt Kriminelle legitime Kollaborationstools missbrauchen und dabei selbst vor ausgeklügelten Blockchain-basierten Command-and-Control-Mechanismen nicht zurückschrecken.

Die Anatomie des Angriffs: Von der Phishing-Mail zum Teams-Anruf

Der Angriff begann mit einer scheinbar harmlosen E-Mail. Die Opfer erhielten eine Phishing-Nachricht mit einem PDF-Anhang namens EE Survey - How to log on.pdf. Der Dateiname suggerierte eine interne Umfrage oder Anleitung zur Anmeldung – ein typischer Köder, um die Neugier oder das Pflichtbewusstsein von Mitarbeitern auszunutzen. Wer das PDF öffnete, fand darin jedoch keine echte Umfrage, sondern eine Aufforderung, sich mit einem vermeintlichen IT-Support in Verbindung zu setzen, oder möglicherweise einen Link, der zu einem Teams-Anruf führte. Die genauen Inhalte des PDFs sind nicht öffentlich dokumentiert, aber der nächste Schritt war eindeutig: Ein externer Microsoft-Teams-Account kontaktierte das Opfer per Sprachanruf.

Der Köder: Eine täuschend echte PDF-Datei

Phishing-E-Mails mit PDF-Anhängen sind ein alter Hut, doch die Angreifer verfeinerten ihre Taktik. Der Dateiname EE Survey - How to log on.pdf imitierte eine typische interne Kommunikation, wie sie in großen Unternehmen üblich ist. Oft enthalten solche PDFs keine Schadsoftware, sondern dienen lediglich als sozialer Trigger, um das Opfer zu einer Handlung zu bewegen – in diesem Fall zur Annahme eines Teams-Anrufs. Die E-Mail selbst war vermutlich so gestaltet, dass sie von einer vertrauenswürdigen internen Quelle zu stammen schien, möglicherweise unter Vortäuschung einer IT-Abteilung. Social-Engineering-Angriffe über Teams

Der Anruf: „System Administrator“ bittet um Fernzugriff

Kurz nach dem Öffnen des PDFs klingelte Microsoft Teams beim Opfer. Der eingehende Sprachanruf kam von einem externen Account mit der E-Mail-Adresse helpdesk@Progressive936.onmicrosoft.com und dem Display-Namen „System Administrator“. Die Teams-Benutzeroberfläche zeigte den Anrufer als „External unfamiliar“ an – ein Warnhinweis, den Microsoft erst kürzlich eingeführt hatte, um genau solche Angriffe zu erschweren. Dennoch ließen sich viele Opfer täuschen. Der Anrufer gab sich als IT-Mitarbeiter aus und überzeugte das Opfer, die Bildschirmsteuerung in Teams zu aktivieren. Ein forensisches Artefakt mit dem Namen CtrlVirtualCursorWin_000001E8A159B970 belegt, dass der Angreifer tatsächlich die Maus- und Tastatursteuerung übernahm. Anschließend wies er das Opfer an, die legitimen Fernwartungstools HopToDesk und AnyDesk zu installieren – angeblich für Supportzwecke. In Wirklichkeit schuf er sich damit persistente Hintertüren, die auch nach dem Teams-Anruf bestehen blieben.

Technische Analyse: Die Infektionskette im Detail

Nachdem der Angreifer die Fernsteuerung etabliert hatte, begann die eigentliche Malware-Infektion. Über eine Eingabeaufforderung (cmd /c curl) lud er eine bösartige MSI-Datei von der Domain camorreado[.]click herunter. Die Datei v7.msi (SHA256: fc2907fa866f86e0821f75060a331ce69ee10ff3aa374587993b17ba5406fa33) entpuppte sich als hochgradig obfuskierter Windows Installer, der in JavaScript geschrieben war. Unit42 analysierte die mehrstufige Infektionskette und dokumentierte jeden Schritt.

Das MSI-Paket und seine Tarnung

Die v7.msi-Datei nutzte die Windows-Installer-Technologie, um ihre bösartigen Aktionen zu verschleiern. Beim Ausführen legte sie drei Dateien im LocalAppData-Verzeichnis des Opfers ab:

  • R2YxSP2m.cmd – eine Batch-Datei, die als Startskript dient
  • z0SYYdWk9g.dat – verschlüsselte Nutzdaten
  • eXYlcnebRLrWyBc.ini – eine Konfigurationsdatei

Eine benutzerdefinierte Aktion (CustomAction) im MSI startete dann den Prozess conhost --headless, um die Batch-Datei im Hintergrund auszuführen. Die Batch-Datei selbst lud die legitime Node.js-Version 18.20.5 direkt von nodejs.org herunter und entpackte sie in einen Ordner namens 1DIZ0D. Anschließend startete sie node.exe mit einem JavaScript-Loader, der die verschlüsselten Daten aus z0SYYdWk9g.dat entschlüsselte. Der 24-Byte-Schlüssel dafür lautete 94ea2ff910a28771f74c2759132ce77d0eb231e3aa1900e1. Diese Technik zeigt, wie Angreifer legitime Software zweckentfremden, um Sicherheitslösungen zu umgehen. Node.js-Malware

Node.js als Sprungbrett für EtherRAT

Der JavaScript-Loader entpackte die finale Payload: EtherRAT, einen plattformübergreifenden Remote-Access-Trojaner (RAT), der vollständig in Node.js geschrieben ist. Durch die Nutzung von Node.js kann die Malware auf Windows, macOS und Linux gleichermaßen ausgeführt werden – ein erheblicher Vorteil für Angreifer, die heterogene Unternehmensumgebungen ins Visier nehmen. Der Loader injizierte den entschlüsselten Code direkt in den Node.js-Prozess, sodass keine verdächtigen ausführbaren Dateien auf der Festplatte zurückblieben. EtherRAT etablierte sofort eine Verbindung zu seinem Command-and-Control-Server (C2), um auf Befehle zu warten.

EtherRAT: Ein plattformübergreifender Trojaner mit Blockchain-C2

EtherRAT ist kein gewöhnlicher Trojaner. Seine Architektur nutzt die Ethereum-Blockchain, um die C2-Infrastruktur zu verschleiern und resilient zu machen. Anstatt eine feste IP-Adresse oder Domain zu verwenden, liest die Malware die C2-URL aus einem Smart Contract auf der Ethereum-Blockchain aus. Dieser Ansatz macht es für Sicherheitsforscher und Strafverfolgungsbehörden extrem schwierig, die Infrastruktur dauerhaft zu deaktivieren, da der Smart Contract unveränderlich auf der Blockchain gespeichert ist.

Funktionsweise und Fähigkeiten

EtherRAT bietet Angreifern eine breite Palette an Funktionen, darunter:

  • Dateisystemzugriff (Hoch- und Herunterladen von Dateien)
  • Ausführen beliebiger Shell-Befehle
  • Keylogging und Clipboard-Überwachung
  • Bildschirmaufzeichnung und Webcam-Zugriff
  • Persistenzmechanismen über Registry-Run-Schlüssel

Im konkreten Fall richtete die Malware einen Persistenzschlüssel unter Software\Microsoft\Windows\CurrentVersion\Run\OneDriveSetup ein, um bei jedem Systemstart automatisch geladen zu werden. Der Name OneDriveSetup tarnt sich als legitimer Microsoft-Dienst und erschwert die manuelle Erkennung.

Ethereum Smart Contract als Command-and-Control

Die C2-Kommunikation von EtherRAT ist raffiniert. Die Malware kontaktiert den Ethereum Smart Contract mit der Adresse 0x6e044e19000487c4a6e6af15b4132a5561b5ee1f und liest von dort die aktuelle C2-URL aus. Sollte die Blockchain-Abfrage fehlschlagen, greift sie auf eine Fallback-Domain zurück: necropatia[.]com. Diese doppelte Absicherung stellt sicher, dass die Angreifer die Kontrolle behalten, selbst wenn der Smart Contract vorübergehend nicht erreichbar ist. Die Nutzung von Blockchain für C2 ist ein wachsender Trend unter Advanced Persistent Threat (APT)-Gruppen, da sie eine dezentrale, zensurresistente Infrastruktur bietet.

Die Spur der Angreifer: Infrastruktur und Opfer

Die Untersuchung von Unit42 förderte weitere Details über die Angreifer zutage. Auf dem Server camorreado[.]click fanden die Forscher ein offenes Verzeichnis, das mehrere Versionen von EtherRAT enthielt – von v1 bis v9. Die jüngste Aktualisierung datierte vom 26. Juni 2026, nur zwei Tage vor der Veröffentlichung des Reports. Dies deutet auf eine aktive Weiterentwicklung der Malware hin. Die Versionshistorie legt nahe, dass die Kampagne bereits seit einiger Zeit lief und die Angreifer ihre Werkzeuge kontinuierlich verbesserten.

Offenes Verzeichnis und Versionshistorie

Das offene Verzeichnis auf camorreado[.]click war ein glücklicher Fund für die Sicherheitsforscher. Es enthielt nicht nur die MSI-Installer, sondern auch ältere Varianten der Malware. Die Analyse der verschiedenen Versionen zeigte, wie die Angreifer ihre Tarnmechanismen verfeinerten – von einfachen Skripten bis hin zu komplexen, mehrstufigen Loadern. Die Tatsache, dass das Verzeichnis öffentlich zugänglich war, spricht für eine gewisse Nachlässigkeit der Angreifer, könnte aber auch ein Ablenkungsmanöver sein. Die Domain selbst wurde über einen Anonymisierungsdienst registriert und war nur kurzlebig aktiv.

Verbindungen zu nordkoreanischen Akteuren

EtherRAT ist kein unbekannter Akteur. Bereits in früheren Kampagnen wurde die Malware mit nordkoreanischen Hackergruppen in Verbindung gebracht, die eine Schwachstelle namens React2Shell ausnutzten. Laut einem Bericht von BleepingComputer aus dem Jahr 2025 setzten diese Gruppen EtherRAT ein, um gezielt Regierungs- und Rüstungsunternehmen anzugreifen. Die aktuelle Kampagne weist ähnliche TTPs (Tactics, Techniques, and Procedures) auf, darunter die Nutzung von Social Engineering über Kollaborationsplattformen und die Blockchain-basierte C2. Zwar gibt es keine definitive Attribution, doch die Überschneidungen sind auffällig. EtherRAT-Malware

Microsofts Gegenmaßnahmen und die wachsende Bedrohung durch Teams-Phishing

Microsoft war sich der Gefahr durch externe Teams-Anrufe bereits bewusst. Im April 2026 veröffentlichte das Unternehmen eine Warnung vor zunehmenden Helpdesk-Impersonation-Angriffen über Microsoft Teams. Kriminelle nutzten externe Accounts, um sich als IT-Support auszugeben und Mitarbeiter zur Preisgabe von Zugangsdaten oder zur Installation von Fernwartungssoftware zu bewegen. Im März 2026 war eine ähnliche Kampagne bekannt geworden, die es auf Finanz- und Gesundheitsorganisationen abgesehen hatte und die Backdoor A0Backdoor einsetzte.

Warnhinweise und Lobby-Funktion

Als Reaktion auf diese Bedrohungen führte Microsoft im Laufe des Jahres 2026 mehrere Sicherheitsverbesserungen ein. Dazu gehören deutliche Warnhinweise für externe Anrufer und Chats, die den Benutzer auf das Risiko hinweisen. Zudem wurde eine Lobby-Politik für Besprechungen implementiert, die verdächtige Bots und externe Teilnehmer automatisch in einen Warteraum versetzt, bevor sie der Besprechung beitreten können. Diese Maßnahmen sollen verhindern, dass Angreifer ungehindert auf Mitarbeiter zugehen können. Allerdings zeigt der EtherRAT-Vorfall, dass diese Hürden nicht ausreichen, wenn die Opfer dennoch auf die Tricks hereinfallen.

Frühere Kampagnen und die A0Backdoor

Die A0Backdoor-Kampagne vom März 2026 war ein Weckruf. Angreifer hatten über Teams-Anrufe Mitarbeiter in Finanz- und Gesundheitsunternehmen dazu gebracht, eine getarnte Backdoor zu installieren. Die dabei verwendeten Techniken ähneln stark der EtherRAT-Kampagne: Vortäuschen einer IT-Support-Rolle, Überredung zur Installation von Fernwartungstools und schließlich das Einschleusen von Malware. Microsoft reagierte mit verschärften Richtlinien und empfahl Unternehmen, externe Teams-Kommunikation standardmäßig einzuschränken.

Schutzmaßnahmen für Unternehmen: Wie Sie sich wappnen

Die EtherRAT-Kampagne unterstreicht, dass technische Sicherheitsvorkehrungen allein nicht ausreichen. Unternehmen müssen eine mehrschichtige Verteidigungsstrategie verfolgen, die sowohl technische als auch organisatorische Maßnahmen umfasst. Im Folgenden finden Sie konkrete Handlungsempfehlungen, um ähnliche Angriffe zu verhindern.

Technische und organisatorische Abwehr

Auf technischer Ebene sollten Unternehmen die Microsoft Teams-Einstellungen überprüfen und externe Kommunikation streng regulieren. Dazu gehört:

  • Externe Anrufe und Chats deaktivieren oder auf eine Whitelist vertrauenswürdiger Domains beschränken.
  • Lobby-Funktion für alle Besprechungen aktivieren, um unbekannte Teilnehmer zu isolieren.
  • Fernsteuerung in Teams deaktivieren, sofern sie nicht zwingend benötigt wird.
  • Installation von Fernwartungssoftware wie AnyDesk oder HopToDesk durch AppLocker oder Windows Defender Application Control blockieren.
  • Netzwerksegmentierung, um laterale Bewegungen nach einer initialen Kompromittierung zu erschweren.
  • Endpoint Detection and Response (EDR)-Lösungen einsetzen, die verdächtige Prozesse wie conhost --headless oder ungewöhnliche Node.js-Ausführungen erkennen.

Organisatorisch ist ein klares Prozessdesign für IT-Supportanfragen essenziell. Mitarbeiter sollten wissen, dass der echte IT-Support niemals unaufgefordert per Teams anruft und schon gar nicht die Bildschirmsteuerung verlangt. Jede Supportanfrage muss über offizielle Kanäle verifiziert werden.

Sensibilisierung der Mitarbeiter

Der menschliche Faktor bleibt die größte Schwachstelle. Regelmäßige Schulungen und simulierte Phishing-Angriffe können das Bewusstsein schärfen. Mitarbeiter sollten lernen:

  • Externe Anrufer in Teams kritisch zu hinterfragen, insbesondere wenn sie sich als IT-Administrator ausgeben.
  • Niemals Fernzugriff zu gewähren, ohne die Identität des Anrufers über einen zweiten Kanal (z. B. Telefon) zu bestätigen.
  • Verdächtige Anrufe sofort an die Sicherheitsabteilung zu melden.
  • Keine Software auf Anweisung eines unbekannten Anrufers zu installieren.

Die Kombination aus technischen Hürden und geschulten Mitarbeitern kann die Erfolgschancen solcher Angriffe drastisch reduzieren.

Indicators of Compromise (IOCs) – Übersicht

Die folgende Tabelle fasst die wichtigsten IOCs aus dem Unit42-Report zusammen, die Unternehmen zur Detektion der EtherRAT-Kampagne nutzen können.

Typ Wert Beschreibung
Domain camorreado[.]click Hostet bösartige MSI-Dateien und offenes Verzeichnis
Domain necropatia[.]com Fallback-C2-Domain für EtherRAT
Datei v7.msi Bösartiger Windows Installer (SHA256: fc2907fa866f86e0821f75060a331ce69ee10ff3aa374587993b17ba5406fa33)
Datei R2YxSP2m.cmd Batch-Startskript
Datei z0SYYdWk9g.dat Verschlüsselte Nutzdaten
Datei eXYlcnebRLrWyBc.ini Konfigurationsdatei
Registry Software\Microsoft\Windows\CurrentVersion\Run\OneDriveSetup Persistenzschlüssel
Ethereum-Adresse 0x6e044e19000487c4a6e6af15b4132a5561b5ee1f Smart Contract für C2-URL
Tenant-ID 310e9ead-4f6f-491e-aafe-feb08c8d17a4 Angreifer-Tenant in Microsoft Teams
E-Mail helpdesk@Progressive936.onmicrosoft.com Absenderadresse des Fake-Supports
Prozess conhost --headless Startet Batch-Datei im Hintergrund
Artefakt CtrlVirtualCursorWin_000001E8A159B970 Beleg für Fernsteuerung über Teams

Die vollständige Liste der IOCs ist im Unit42 IOC-Report auf GitHub verfügbar. Unternehmen sollten diese Indikatoren in ihre SIEM- und EDR-Systeme einspeisen, um kompromittierte Systeme zu identifizieren.

Fazit und Ausblick

Die EtherRAT-Kampagne zeigt, wie Angreifer die Grenzen zwischen Social Engineering und technischer Raffinesse verschwimmen lassen. Die Kombination aus einem vertrauenswürdigen Kollaborationstool, legitimer Fernwartungssoftware und einer Blockchain-basierten C2-Infrastruktur macht diese Bedrohung besonders heimtückisch. Microsoft hat reagiert, doch die Verantwortung liegt letztlich bei den Unternehmen selbst. Nur durch eine ganzheitliche Sicherheitsstrategie, die Technik, Prozesse und Menschen gleichermaßen berücksichtigt, können solche Angriffe vereitelt werden. Die kontinuierliche Weiterentwicklung von EtherRAT – von Version 1 bis 9 innerhalb weniger Monate – deutet darauf hin, dass diese Gruppe nicht ruhen wird. Es ist nur eine Frage der Zeit, bis die nächste Iteration auftaucht. Wachsamkeit und proaktive Verteidigung sind das Gebot der Stunde.

Weitere Informationen finden Sie in den folgenden Quellen: