ValleyRAT-Malware nutzt Foxit Reader für Cyberangriffe

Die PDF-Welt steht unter Spannung: Während ONLYOFFICE und Stirling PDF diese Woche mit KI-Features und Open-Source-Innovation punkten, warnt Trend Micro vor einer raffinierten Malware-Kampagne. Der Trojaner “ValleyRAT” tarnt sich ausgerechnet hinter vertrauenswürdigen PDF-Programmen – und macht Personalabteilungen zum Ziel.

Am Mittwoch, dem 3. Dezember, treffen zwei Welten aufeinander: Auf der einen Seite moderne Produktivitäts-Tools mit intelligenten Automatisierungen. Auf der anderen Seite Cyberkriminelle, die genau diese digitale Abhängigkeit ausnutzen. Die Botschaft für Unternehmen ist eindeutig: Wer PDF-Software einsetzt, muss seine Sicherheitsstandards sofort überdenken.

Trend Micro deckte heute eine ausgeklügelte Attacke auf, die vor allem Recruiter und HR-Teams ins Visier nimmt. Der Remote-Access-Trojaner “ValleyRAT” verschafft Angreifern vollständige Kontrolle über infizierte Systeme – inklusive Tastaturüberwachung und Datenklau.

Das Perfide: Die Kriminellen missbrauchen die legitime Software Foxit PDF Reader als Tarnung. Sie benennen die originale FoxitPDFReader.exe um und schleusen über “DLL-Side-Loading” eine manipulierte Bibliothek (msimg32.dll) ein. Das vertrauenswürdige Programm lädt die Schadsoftware, ohne dass Antivirenprogramme Alarm schlagen.

Cyberangriffe wie ValleyRAT zeigen, wie verwundbar HR-Teams und Personalabteilungen sind. Viele Unternehmen sind nach wie vor schlecht vorbereitet – und genau hier setzt ein kostenloses Praxis‑E‑Book an: Es erklärt leicht verständlich, welche technischen Härtungen, Prozessänderungen und Awareness-Maßnahmen sofort Schutz bringen, enthält Checklisten für die IT und praktische Schritte für HR bei verdächtigen Bewerbungen. Ideal für IT‑Leiter und Personalverantwortliche, die schnell und ohne großes Budget handeln wollen. Jetzt kostenlosen Cyber-Security-Guide sichern

So läuft der Angriff ab:

Der Köder sind Bewerbungsunterlagen mit Dateinamen wie “Gehaltsabrechnung” oder “Zusatzleistungen”. Öffnet das Opfer die Datei, startet im Hintergrund eine Batch-Datei (document.bat), die ein als Word-Dokument getarntes 7zip-Archiv entpackt. Darin verbirgt sich eine vollständige Python-Umgebung, die ValleyRAT in Systemprozesse einschleust.

Warum ist die Kampagne so erfolgreich? Weil sie auf bewährte Taktiken setzt und die Angriffskette geschickt verschleiert. Mitarbeiter vertrauen bekannten Programmnamen – genau diese Schwachstelle nutzen die Täter aus.

ONLYOFFICE bringt KI-Agent für automatische Formulare

Während Sicherheitsteams neue Bedrohungen analysieren, zieht die Produktivitätsbranche mit Innovation nach. Gestern präsentierte ONLYOFFICE die Version 9.2 seiner Desktop-Editoren – mit einem KI-Agenten, der PDF-Workflows grundlegend verändert.

Das Highlight: Die Software erkennt automatisch Formularfelder in PDFs und füllt sie eigenständig aus. Der integrierte KI-Assistent generiert Texte, fasst Dokumente zusammen und übernimmt repetitive Aufgaben.

Die wichtigsten Neuerungen:

Die PDF-Formulare wurden massiv aufgewertet. Checkboxen und Radio-Buttons unterstützen jetzt Textlabels, was die Bedienung intuitiver macht. Erstmals lassen sich alle Tastenkombinationen individuell anpassen – ein Feature, das vor allem Umsteiger von Adobe oder anderen Tools schätzen dürften.

Neu ist auch die Makro-Aufzeichnung für Textdokumente und Tabellen. Wer ständig dieselben Formatierungen vornimmt, automatisiert das jetzt per Knopfdruck. Im PDF-Editor funktioniert das zwar noch nicht, doch die Richtung stimmt.

Für Rechts- und Compliance-Teams interessant: Geschwärzte Bereiche lassen sich farblich codieren. Unterschiedliche Farben können etwa personenbezogene Daten von Geschäftsgeheimnissen trennen – praktisch für die Archivierung.

Kann ONLYOFFICE damit Adobe angreifen? Die KI-Integration zeigt zumindest, wohin die Reise geht: PDFs werden von statischen Dokumenten zu interaktiven Datenquellen.

Stirling PDF 2.0: Open-Source fordert Branchenriesen heraus

Der PDF-Markt erlebt parallel eine Open-Source-Revolution. Stirling PDF 2.0, offiziell am 25. November auf GitHub veröffentlicht, sorgt diese Woche für Aufsehen in der Fachpresse.

Die Software setzt auf Datenschutz: Alle Verarbeitungen laufen lokal oder auf dem eigenen Server – keine Cloud, keine Datenübertragung an Dritte. Mit Version 2.0 wagt sich das Projekt an Funktionen heran, die bisher teurer Profi-Software vorbehalten waren.

Was die neue Version bietet:

Die Alpha-Version bringt direkte Textbearbeitung in PDFs – eine Funktion, für die man normalerweise Adobe Acrobat Pro braucht. Die Architektur wurde komplett überarbeitet: Frontend und Backend sind getrennt, was skalierbare Unternehmensinstallationen ermöglicht.

Das Lizenzmodell folgt dem “Open-Core”-Prinzip: Bis zu fünf Nutzer arbeiten kostenlos mit allen Kernfunktionen. Größere Unternehmen zahlen für erweiterte Administration und Support – ein fairer Kompromiss zwischen Community und Kommerzialisierung.

Warum wird das Projekt gerade jetzt beachtet? Angesichts der ValleyRAT-Attacken überdenken viele Firmen ihre Software-Strategie. Wer PDF-Tools selbst hostet, minimiert Angriffsflächen und Datenlecks durch externe Cloud-Dienste.

Adobe aktualisiert leise – der Markt dreht sich trotzdem weiter

Adobe veröffentlichte am 2. Dezember ebenfalls ein Update für Acrobat und Reader (Version 25.001.20982). Anders als die Feature-Offensive von ONLYOFFICE oder der Architektur-Umbau bei Stirling PDF fokussiert sich der Marktführer auf Stabilität und Bugfixes.

Diese “stille Zuverlässigkeit” bleibt Adobes Verkaufsargument für Großkunden, die Kontinuität über Experimente stellen. Doch die parallelen Entwicklungen dieser Woche zeichnen ein klares Bild für Ende 2025:

Erstens: Profi-Features werden zum Standard. Textbearbeitung und Formularerstellung sind keine Premium-Privilegien mehr.

Zweitens: KI verändert die Rolle des Dokuments. Mit Agenten wie bei ONLYOFFICE wird das PDF zur Schnittstelle für automatisierte Datenverarbeitung.

Drittens: Die Angriffsfläche wächst. Je komplexer PDF-Reader werden – JavaScript-Ausführung, KI-Anbindung –, desto attraktiver sind sie für Hacker. ValleyRAT beweist, wie tief diese Tools in Unternehmensnetzen verankert sind.

IT-Abteilungen müssen jetzt handeln

Für Anfang 2026 zeichnet sich ab: Die Kombination aus KI und Sicherheit dominiert die Branche. Hersteller werden strengere “Sandboxing”-Mechanismen implementieren, um DLL-Side-Loading-Angriffe wie bei ValleyRAT zu verhindern.

Gleichzeitig dürfte das “Bring your own AI”-Modell zum Standard werden. Unternehmen nutzen dann eigene KI-Schlüssel für lokale oder Cloud-LLMs – so profitieren sie von intelligenten Features, ohne sensible Daten für fremde Trainingsdatensätze preiszugeben.

Was sollten Administratoren sofort tun? Alle PDF-Programme auf die diese Woche erschienenen Versionen aktualisieren. HR-Teams müssen über die ValleyRAT-Kampagne aufgeklärt werden – besonders über die Gefahr von Dateien mit doppelten Endungen oder verdächtigen Executables, die sich als Lebensläufe tarnen.

Die Recruiting-Saison läuft auf Hochtouren. Genau darauf spekulieren die Angreifer.

PS: Sie möchten Ihr Unternehmen gegen gezielte Malware‑Angriffe absichern, ohne teure neue Fachkräfte einzustellen? Dieses kostenlose Praxis‑E‑Book zeigt konkrete, sofort umsetzbare Maßnahmen – von Awareness‑Trainings für HR bis zu schnellen Härtungs-Schritten für die IT‑Infrastruktur. Mit Checklisten und Priorisierungs-Tipps, damit kleine und mittlere Unternehmen ihre Abwehr deutlich verbessern können. Ideal für Geschäftsführer, IT‑Leiter und Personalverantwortliche. Gratis-Leitfaden: Cyber-Security-Strategien herunterladen