MoonPeak-RAT, Nordkoreanische

MoonPeak-RAT: Nordkoreanische Hacker nutzen gefälschte Handelsbücher

23.01.2026 - 16:16:12

Eine aktuelle Cyber-Kampagne nutzt getarnte Verknüpfungsdateien, um die Spionagesoftware MoonPeak zu verbreiten. Die Angreifer zielen gezielt auf Investoren ab und umgehen Sicherheitsvorkehrungen mit ausgeklügelten Tarnmethoden.

MoonPeak-RAT: Nordkoreanische Hacker nutzen gefälschte Handelsbücher - Foto: über boerse-global.de
MoonPeak-RAT: Nordkoreanische Hacker nutzen gefälschte Handelsbücher - Foto: über boerse-global.de

Eine hochsophistische Cyber-Kampagne infiziert Windows-Nutzer über manipulierte Verknüpfungsdateien mit der Spionagesoftware MoonPeak. Die Angreifer, die mit Nordkorea in Verbindung stehen, zielen gezielt auf Investoren ab.

Die Attacke beginnt mit einer scheinbar harmlosen Dateiverknüpfung (.LNK). In einer aktuellen Kampagne, die Forscher von Internet Initiative Japan (IIJ) im Januar 2026 beobachteten, trug diese den Namen eines „Praktischen Trading-Kerngeheimnis-Buchs“. Dieses Köderfile soll gezielt Personen anlocken, die nach Finanzberatung suchen. Beim Öffnen passiert Zweierlei: Ein harmloses PDF-Dokument erscheint, während im Hintergrund ein verschleierter PowerShell-Skript die eigentliche Infektion startet. Diese Täuschung soll Misstrauen beim Opfer vermeiden.

Anzeige

Gefährliche .LNK‑Köder und verschleierte PowerShell‑Skripte sind typische Werkzeuge für zielgerichtete Spionageangriffe — gerade wenn Investoren im Visier sind. Das kostenlose Anti‑Phishing‑Paket zeigt in einer klaren 4‑Schritte‑Anleitung, wie Sie manipulierte Anhänge, CEO‑Fraud und Social‑Engineering erkennen, Mitarbeitende schulen und technische Abwehrmaßnahmen einführen. Inklusive praxistauglicher Checklisten, E‑Mail‑Filter‑Vorlagen, Richtlinien zur PowerShell‑Ausführung und Hinweisen zur Erkennung fileless‑Techniken für IT‑Teams. Jetzt Anti-Phishing-Paket sichern

Dreistufiger Angriff mit ausgeklügelter Tarnung

Der Infektionsprozess ist ein mehrstufiges Manöver, das auf Tarnung setzt. Der PowerShell-Code führt zunächst eine umfangreiche Erkundung des Systems durch. Er sucht gezielt nach Anzeichen einer virtuellen Umgebung und scannt nach über 50 gängigen Analyse-Tools wie Wireshark, IDA oder Process Monitor. Wird eines entdeckt, bricht die Malware sofort ab. Diese Anti-Analyse-Technik soll Sicherheitsforscher ausschalten und unterstreicht die Professionalität der Angreifer.

Erst wenn die Umgebung als „sicher“ eingestuft wird, lädt der Skript die finale Schadsoftware nach. Das Ziel ist die Installation des MoonPeak Remote Access Trojan (RAT). Dieser basiert auf dem quelloffenen XenoRAT und wurde von der nordkoreanischen Bedrohungsgruppe UAT-5394 weiterentwickelt, die Verbindungen zur berüchtigten Kimsuky-APT aufweist.

Vollzugriff für Spione: Das kann der MoonPeak-Trojaner

Einmal installiert, gewährt MoonPeak den Angreifern nahezu uneingeschränkte Kontrolle. Die Fähigkeiten entsprechen denen anderer XenoRAT-Varianten: Keylogging, Screenshot-Erstellung, Zugriff auf Webcam und Mikrofon, Dateitransfer und die Ausführung von Fernbefehlen. Besonders tückisch: Die finale RAT-Komponente wird nicht auf die Festplatte geschrieben, sondern direkt in den Arbeitsspeicher geladen. Diese „Fileless“-Methode umgeht viele traditionelle Virenscanner.

Hintergrund: Ein sich stetig entwickelnder Spion

MoonPeak ist kein neues Phänomen. Sicherheitsexperten von Cisco Talos machten bereits im August 2024 auf die Malware aufmerksam. Seither beobachten sie eine kontinuierliche Evolution. Die Betreiber haben ihre Infrastruktur verfeinert, weg von legitimen Cloud-Diensten hin zu eigenen Command-and-Control-Servern (C2). Die stetigen, inkrementellen Änderungen am Code sollen die Erkennung erschweren.

Der Bezug zur Kimsuky-Gruppe ist bedeutsam. Dieser staatlich unterstützte APT-Akteur führt seit Jahren Cyber-Spionagekampagnen im Interesse Nordkoreas durch. Die Nutzung eines maßgeschneiderten, aktiv weiterentwickelten Tools wie MoonPeak passt zum Muster der Gruppe, ihr Arsenal ständig zu modernisieren.

Schutzmaßnahmen: Wie sich Unternehmen verteidigen können

Die Kombination aus sozialem Engineering und komplexen Mehrstufen-Angriffen bleibt eine gefährliche Bedrohung. Die aktuelle Kampagne gegen südkoreanische Nutzer zeigt, wie gezielt die Köder gestaltet werden. Experten empfehlen eine mehrschichtige Verteidigungsstrategie:

  • Nutzeraufklärung: Sensibilisierung für die Gefahren von unerwünschten Anhängen und Verknüpfungsdateien.
  • Technische Maßnahmen: Richtlinien zur Einschränkung oder Überwachung der Skriptausführung (insbesondere PowerShell) aus nicht vertrauenswürdigen Quellen.
  • Moderne Sicherheitstools: Endpoint Detection and Response (EDR)-Lösungen kombiniert mit aktuellen Threat-Intelligence-Daten sind entscheidend, um die fortschrittlichen Umgehungs- und In-Memory-Techniken von MoonPeak zu identifizieren und zu stoppen.
Anzeige

PS: Wussten Sie, dass viele gezielte Angriffe mit harmlos aussehenden Dateien starten? Der kostenlose Report zum Anti‑Phishing‑Paket erklärt die psychologischen Tricks der Angreifer und liefert praxiserprobte Abwehrschritte — von E‑Mail‑Konfigurationen über Endpoint‑Kontrollen bis zu Schulungsplänen für Führungskräfte. Ideal für Security‑Verantwortliche, die Supply‑Chain‑ und Investor‑Angriffe verhindern wollen. Holen Sie sich die Checklisten und Sofortmaßnahmen, bevor die nächste Spear‑Phishing‑Welle zuschlägt. Anti-Phishing-Report herunterladen

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.