PureLog-Kampagne: Stealth-Malware bedroht europäische Industrie

Eine neue, hochsophistische Cyber-Spionagekampagne zielt auf Regierungen und Schlüsselindustrien in Europa. Angreifer nutzen einen getarnten „Stealth Loader“, um den Datendieb PureLog einzuschleusen.

Die Bedrohung erreicht eine neue Qualität. Sicherheitsforscher von Cyble Research and Intelligence Labs (CRIL) haben eine präzise gesteuerte Malware-Operation aufgedeckt. Sie zielt auf staatliche Stellen und Industrieunternehmen in Italien und Finnland sowie auf Ziele in Saudi-Arabien ab. Der Angriff nutzt einen komplexen „Stealth Loader“, der traditionelle Sicherheitsvorkehrungen umgehen kann. Die Kampagne tarnt sich als geschäftliche Routinekommunikation und markiert eine gefährliche Evolution von „Loader-as-a-Service“-Bedrohungen.

Die Tarnkappe: Eine vierstufige Infiltrationspipeline

Im Zentrum steht nicht nur die Schadsoftware, sondern ihr Transportmittel – ein einheitlicher Loader mit militärischen Tarnkappen-Fähigkeiten. Laut Analysen von CRIL und anderen Sicherheitsfirmen nutzen die Angreifer eine vierstufige Evasions-Pipeline für den unerkannten Systemeinzug.

Die Infektionskette beginnt typischerweise mit einer Phishing-E-Mail, die als „Kauforder“ getarnt ist – ein klassischer Trick, der die Routine von Verwaltungsmitarbeitern ausnutzt. Die technische Ausführung ist jedoch alles andere als alltäglich. Der Loader setzt auf Steganografie. Diese Technik versteckt bösartigen Code in scheinbar harmlosen Bilddateien oder SVG-Grafiken.

Passend zum Thema Cyberspionage: Viele Unternehmen unterschätzen, wie ausgeklügelte Loader und Steganografie bestehende Abwehrsysteme umgehen. Ein kostenloser Leitfaden erklärt, welche einfachen technischen und organisatorischen Maßnahmen jetzt dringend nötig sind – von verhaltensbasierter Überwachung bis zu Mitarbeiterschulungen gegen gezielte Phishing‑Kauforders. Praktische Checklisten helfen IT‑Verantwortlichen, Lücken schnell zu schließen. Der Leitfaden zeigt auch, wie Sie Erkennung ohne hohe Investitionen verbessern können. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

„Die Raffinesse der Operation zeigt sich auch in der Trojanisierung von Open-Source-Bibliotheken“, so die Cyble-Forscher. Indem die Nutzlast in Bildpixel eingebettet wird, kann die Malware „dateibasierte Erkennungssysteme umgehen, indem sie sich als harmloser Datenverkehr tarnt“.

Einmal im System, nutzt die Malware eine neuartige Technik zur Umgehung der Benutzerkontensteuerung (UAC). Sie löst gezielt eine UAC-Abfrage genau in dem Moment aus, in dem eine legitime Anwendung startet. Der Benutzer wird so getäuscht, Administratorrechte zu erteilen. Dies ermöglicht dem Loader, seine finale Nutzlast – den PureLog Stealer – direkt im Arbeitsspeicher auszuführen. Auf der Festplatte bleiben so kaum forensische Spuren.

Strategische Ziele: Europas industrielles und diplomatisches Herz

Während viele Cyberkriminelle mit breiter Streuung agieren, zeigt diese Operation „einen hohen Grad an regionaler und sektoraler Spezifität“. Die primären Ziele, die identifiziert wurden, sind Regierungsorganisationen und kritische Fertigungsinfrastrukturen in Italien und Finnland.

Sicherheitsanalysten warnen: Der Fokus auf diese Sektoren deutet auf ein Ziel jenseits einfacher finanzieller Bereicherung hin. Der Einsatz von PureLog, der Browser-Zugangsdaten, Krypto-Wallet-Informationen und umfassende Systemdetails abgreifen kann, zielt auf Industriespionage und den Diebstahl sensibler Administratoren-Schlüssel ab.

„Das primäre Ziel ist der Abfluss sensibler Industriedaten und die Kompromittierung hochwertiger Administratoren-Zugänge“, stellen die CRIL-Analysten klar.

Die geografische Streuung – die europäischen Ziele mit solchen im Nahen Osten (Saudi-Arabien) verbindet – deutet auf einen Bedrohungsakteur mit geopolitischen Interessen hin. Die präzise Zielung des Fertigungssektors in diesen Ländern bedroht direkt geistiges Eigentum und die Lieferketten-Integrität in der Eurozone.

Das „Schweizer Taschenmesser“ für Cyberkriminelle

Ein besonders alarmierender Aspekt ist die modulare Natur des Angriffs. Der Stealth-Loader fungiert als „universeller Adapter“. Er kann nicht nur PureLog, sondern eine ganze Palette anderer Schadtools liefern, darunter Remcos, AsyncRat und DC Rat.

Diese Vielseitigkeit legt nahe, dass der Loader im Cyberkriminalitäts-Untergrund wahrscheinlich als Dienstleistung verkauft oder geteilt wird. Das senkt die Einstiegshürde für hochwertige Spionage erheblich. „Unsere Forschung bestätigt, dass identische Loader-Artefakte und Ausführungsmuster diese Kampagne mit einer breiteren, von mehreren Bedrohungsakteuren genutzten Infrastruktur verbinden“, schlussfolgert der Cyble-Bericht.

Dieses „Shared-Infrastructure“-Modell erschwert die Zuordnung. Unterschiedliche Gruppen nutzen möglicherweise das gleiche Werkzeug für verschiedene Ziele – einige für Erpressung, andere für staatlich geförderte Spionage. Die Einheitlichkeit der Vorgehensweise deutet jedoch auf einen zentralen Entwickler oder ein hochorganisiertes Syndikat hin, das die Tarnfähigkeiten des Loaders pflegt.

Kontext & Analyse: Der Aufstieg tarnkappenfähiger Loader

Das Auftauchen der PureLog-Kampagne passt in einen breiteren Trend, der 2025 beobachtet wurde: die Kommodifizierung fortschrittlicher Persistenz-Tools. Im Gegensatz zu den „Spray-and-Pray“-Ransomware-Angriffen der frühen 2020er Jahre setzen heutige Bedrohungen auf Tarnung und Hartnäckigkeit.

Die Nutzung „trojanisierter“ Open-Source-Bibliotheken – in dieser Kampagne speziell die Modifikation der legitimen TaskScheduler-Bibliothek – markiert eine gefährliche Verschiebung. Indem bösartige Funktionen an vertrauenswürdigen Code angehängt werden, machen Angreifer eine signaturbasierte Erkennung für Standard-Antivirenlösungen extrem schwierig.

Branchenexperten sehen hier eine kritische Schwachstelle im Umgang von Organisationen mit „harmlosen“ Dateitypen. „Organisationen, besonders in den Zielregionen, sollten ‚harmlose‘ Bilddateien und E-Mail-Anhänge mit erhöhter Skepsis behandeln“, warnten Sicherheitsanalysten nach der Entdeckung. Der Erfolg von Steganografie in 2025 beweist: Selbst nicht-ausführbare Dateien können Brückenköpfe für schwerwiegende Datendiebstähle sein.

Ausblick: Verhaltensüberwachung statt reiner Dateiprüfung

Bis zum 23. Dezember 2025 arbeiten Sicherheitsanbieter unter Hochdruck daran, Erkennungssignaturen für die spezifischen UAC-Umgehungstechniken und steganografischen Muster dieses Loaders zu aktualisieren. Das modulare Design der Malware bedeutet jedoch, dass die Bedrohungsakteure die finale Nutzlast (PureLog) schnell gegen zerstörerischere Malware austauschen können, sollten sich ihre Ziele von Spionage zu Sabotage verschieben.

Von europäischen Datenschutzbehörden wird in den kommenden Tagen eine spezifische Handlungsanleitung für staatliche Auftragnehmer und Fertigungsunternehmen erwartet. Der Fokus wird voraussichtlich auf der Verhaltensüberwachung liegen – also der Erkennung der Aktion von Code-Injection und Speichermanipulation – und nicht allein auf dem Scannen von Dateien.

Die „PureLog“-Kampagne ist eine deutliche Erinnerung: In der aktuellen Bedrohungslandschaft kann sich in einer simplen Kauforder-Anlage ein militärisch getarnter Spionagewerkzeug verbergen.

PS: Sie haben gerade gelesen, wie zielgerichtete Loader ganze Organisationen kompromittieren können. Wenn Sie IT‑ oder Sicherheitsverantwortlicher in Verwaltung oder Fertigung sind, liefert unser kostenloser Report praxisnahe Maßnahmen – u. a. Incident‑Checklisten, Priorisierungs‑Schritte und Empfehlungen zur Verhaltensüberwachung, damit Speichermanipulationen und Code‑Injections früher entdeckt werden. Schützen Sie sensible Admin‑Zugänge und Lieferketten‑Daten jetzt proaktiv. Kostenlosen Cyber-Security-Report anfordern