StreamSpy: Neuer Spionage-Trojaner bedroht Südasien

Patchwork-APT setzt auf WebSocket-Technologie, um Sicherheitskontrollen zu umgehen. Der neue Trojaner “StreamSpy” markiert eine gefährliche Weiterentwicklung in der Cyber-Spionage gegen diplomatische und militärische Ziele in Südasien.

Raffinierter Trojaner für langfristige Spionage

Sicherheitsforscher haben einen neuen, hoch entwickelten Schadcode identifiziert. Der als StreamSpy bekannte Trojaner wird der berüchtigten Bedrohungsgruppe Patchwork zugeschrieben, die seit über einem Jahrzehnt aktiv ist. Auch unter den Namen Maha Grass oder Dropping Elephant bekannt, hat sich die Gruppe auf Cyber-Spionage gegen Ziele in Pakistan und Indien spezialisiert.

Während der Schadcode bereits Ende 2025 erstmals beobachtet wurde, haben aktuelle Analysen vom 2. und 3. Januar 2026 das volle Ausmaß der Bedrohung offengelegt. StreamSpy ersetzt ältere Werkzeuge wie die “Spyder”-Hintertür und setzt auf fortschrittlichere Kommunikationswege. Sein Ziel ist nicht Zerstörung, sondern das stille Sammeln von Informationen im Hintergrund kompromittierter Systeme.

Viele Organisationen unterschätzen neue, schwer erkennbare Angriffswege wie WebSocket-basierte Command‑and‑Control-Verbindungen — klassische Signatur‑Checks reichen hier oft nicht aus. Der kostenlose E‑Book-Report “Cyber Security Awareness Trends” erklärt aktuelle Bedrohungsmuster, darunter WebSocket‑C2, “Living‑off‑the‑Land”-Techniken und gezieltes Spear‑Phishing, und liefert sofort umsetzbare Maßnahmen für IT‑Verantwortliche und Geschäftsführer, um Erkennung und Abwehr nachhaltig zu verbessern. Gratis Cyber-Security-Report für Unternehmen sichern

Technische Innovation: WebSocket als Tarnkappe

Das entscheidende Merkmal von StreamSpy ist seine raffinierte Zwei-Kanal-Kommunikation, die gezielt herkömmliche Netzwerküberwachung umgehen soll.

Unsichtbare Befehlsübertragung
Der Trojaner nutzt das WebSocket-Protokoll, um Befehle zu empfangen und Ergebnisse zu senden. WebSocket-Verbindungen ähneln legitimen Web-Traffic und fallen für viele Sicherheitssysteme nicht als verdächtig auf. Diese Tarnung macht die Entdeckung erheblich schwieriger.

Getrennte Datenkanäle
Für das Übertragen großer Dateien – wie gestohlener Dokumente – wechselt StreamSpy zurück zum klassischen HTTP-Protokoll. Diese Trennung von Befehls- und Datenverkehr ist eine bewusste Design-Entscheidung. Sie minimiert die “Geräuschkulisse” bei Routine-Kommunikation, die eine Warnung auslösen könnte.

Klare Zuordnung zu Patchwork
Analysten fanden deutliche Code-Überschneidungen mit dem älteren “Spyder”-Trojaner. Auch die verwendete Infrastruktur zeigt Verbindungen zu anderen südasiatischen Bedrohungsgruppen wie DoNot Team. Dies deutet auf eine mögliche Zusammenarbeit oder gemeinsame Ressourcennutzung hin.

So schleust sich der Schadcode ein

Patchwork setzt weiterhin auf bewährte Methoden: gezieltes Spear-Phishing. Die Infektion beginnt typischerweise mit einer präparierten E-Mail an ausgewählte Opfer.

Der Köder
Die Gruppe verwendet maßgeschneiderte Köder, die auf die Interessen ihrer Ziele zugeschnitten sind. Dazu zählen gefälschte Regierungsmitteilungen oder Dokumente zu Verteidigungsthemen. Ein Anhang – oft eine ZIP-Datei mit schädlichem Inhalt – löst bei Interaktion eine mehrstufige Infektionskette aus.

Dauerhafte Präsenz im System
Um auch nach einem Neustart aktiv zu bleiben, manipuliert StreamSpy die Windows-Registry für einen automatischen Start. In verwandten Kampagnen nutzte Patchwork zudem legitime Windows-Tools wie msbuild.exe, um bösartigen Code auszuführen. Diese “Living-off-the-Land”-Taktik erschwert die Erkennung durch Antivirenprogramme zusätzlich.

Südasien: Brennpunkt der Cyber-Spionage

Die Entdeckung von StreamSpy fällt in eine Phase intensiver Cyber-Aktivitäten in der Region. Fast zeitgleich, am 2. Januar, analysierten Forscher eine separate Kampagne der Gruppe Transparent Tribe (APT36).

Während Patchwork mit StreamSpy operiert, attackiert Transparent Tribe indische Regierungs- und Bildungseinrichtungen mit getarnten LNK-Dateien. Für Verteidiger ist die Unterscheidung entscheidend:
* Patchwork: Setzt auf StreamSpy mit WebSocket-C2, zielt auf Verteidigungs-/Diplomatie-Sektor.
* Transparent Tribe: Nutzt LNK/HTA-Infektionen mit Crimson RAT, zielt auf Bildungs-/Regierungssektor.

Die parallelen Aktivitäten beider Gruppen zeigen ein deutlich erhöhtes Spionage-Niveau in Südasien zu Beginn des Jahres 2026.

Abwehr wird immer komplexer

Experten warnen: Die Nutzung von WebSockets durch Gruppen wie Patchwork ist Teil eines Trends zu immer schwerer erkennbarer Malware-Kommunikation. Da die Überprüfung von HTTP/HTTPS-Verkehr rigoroser wird, weichen Angreifer auf alternative Protokolle aus.

Organisationen, insbesondere im sensiblen Regierungs- und Verteidigungsbereich, werden dringend geraten, ihre Bedrohungserkennung anzupassen. Die Analyse von WebSocket-Verbindungen zu unbekannten Domains wird immer wichtiger. Zusätzlich bleiben strenge E-Mail-Filter und das Blockieren unbekannter LNK- oder HTA-Dateien essentielle erste Verteidigungslinien.

“StreamSpy zeigt, dass die Gruppe ihr Arsenal kontinuierlich verbessert”, so Analysten in den aktuellen Berichten. “Verteidiger müssen über statische Datei-Signaturen hinausschauen und sich auf Verhaltensanomalien im Netzwerkverkehr konzentrieren.”

PS: Sie sind verantwortlich für IT-Sicherheit in Ihrem Unternehmen? Der kostenlose Cyber-Security-Guide bietet praktische Checklisten zur Phishing-Prävention, Empfehlungen für die Überwachung ungewöhnlicher WebSocket-Verbindungen und Schulungsinhalte für Mitarbeitende — alles so aufbereitet, dass es ohne große Investitionen sofort umsetzbar ist. Viele Mittelständler nutzen diese Maßnahmen, um Angriffsflächen schnell zu verkleinern. Jetzt kostenlosen Cyber-Security-Guide herunterladen