COLDRIVER erweitert Toolset: BAITSWITCH und SIMPLEFIX in mehrstufigen ClickFix-Angriffen : Russische Hackergruppe nutzt alte Tricks mit neuer Schadsoftware

COLDRIVER, auch unter den Namen Callisto, Star Blizzard und UNC4057 bekannt, ist eine mit Russland in Verbindung gebrachte Angreifergruppe, die seit 2019 verschiedene Branchen ins Visier nimmt. In frühen Kampagnen nutzten die Akteure gezielte Phishing-Mails, um Personen auf gefälschte Login-Seiten zu locken und so Zugangsdaten abzugreifen. Parallel dazu hat die Gruppe eigene Werkzeuge entwickelt, unter anderem SPICA und LOSTKEYS, was auf ein hohes technisches Niveau und gezielte, maßgeschneiderte Angriffe schließen lässt.

Der Einsatz der sogenannten ClickFix-Taktik durch diese Gruppe wurde im Mai 2025 von der Google Threat Intelligence Group dokumentiert: Der aktuelle COLDRIVER-Angriff beginnt auf einer gefälschten Webseite, die vorgibt, den Besucher mit einer Sicherheitsprüfung zu checken — etwa einem Mensch-gegen-Bot-Test. Die Seite lenkt ab und rechtfertigt dann die Aufforderung, einen Befehl in die Windows-Funktion «Ausführen» einzutragen. Wer das tut, startet Programme oder Befehle direkt auf dem Rechner, ohne dass der Browser noch eingreift. Das macht die Methode so wirkungsvoll: Sie nutzt das Vertrauen des Nutzers und die lokalen Systemrechte, um Schadcode zu starten, der von vielen Schutzmechanismen übersehen werden kann.

Aus Sicht der Verteidigung ist die Gefährlichkeit dieser Methode nicht die Komplexität der Technik, sondern die Kombination aus menschlicher Interaktion und der nativen Ausführungsumgebung von Windows. ClickFix ist deshalb so erfolgreich, weil die Ausführung unmittelbar lokal stattfindet und viele Endpoint-Schutzmechanismen standardmäßig vertrauenswürdige lokale Prozesse nicht tiefgehend kontrollieren.

Mehrstufige Architektur: Warum zwei Komponenten?

Die Angreifer trennen Funktionen bewusst in schlanke Module, um Erkennungssignaturen zu reduzieren und Wiederverwendbarkeit zu erhöhen:

• BAITSWITCH ist der erste Downloader. Technisch ist es eine dynamische Linkbibliothek, die nur wenige Schritte ausführt: sie liest einfache Systeminformationen aus, stellt mehrere HTTP-Anfragen an eine vom Angreifer kontrollierte Domain und lädt davon einen größeren Stager nach. Durch diese Aufteilung bleibt der erste Code sehr schlank und fällt seltener durch Signaturen auf.
• SIMPLEFIX ist der nachgeladene PowerShell-Agent. PowerShell wird genutzt, weil es tief ins System integriert ist, Skripte direkt aus dem Arbeitsspeicher laden kann und viele Verwaltungsfunktionen bietet. SIMPLEFIX setzt diese Möglichkeiten ein, um PowerShell-Skripte auszuführen, weitere Komponenten oder Dateien herunterzuladen und Befehle von einem entfernten Steuerungsserver entgegenzunehmen und auszuführen.

Die Trennung erlaubt es Angreifern, den initialen Code kurz und unauffällig zu halten und komplexe Funktionen erst nach dem Etablieren einer Verbindung nachzuladen.

Technische Details zu Persistenz, Tarnung und Kommunikation

Die eingesetzten Techniken sind clever durchdacht, aber bewusst schlank umgesetzt, damit sie unauffällig bleiben und sich leichter nachladen lassen.

• Persistenz: Anstatt sich offen in Autostart-Ordnern zu verankern, speichern die Komponenten verschlüsselte Programmteile in der Windows-Registrierungsdatenbank. Beim Systemstart werden diese Werte schrittweise aus der Registry gelesen und wieder zusammengesetzt, so dass ein kleiner Loader im Arbeitsspeicher die eigentliche Nutzlast startet. Dadurch entziehen sich die Schadprogramme einfachen Dateisystem-Scans.
• Spurenvernichtung: Die Angreifer entfernen oder verändern den Eintrag, der zeigt, welcher Befehl zuletzt im Fenster «Ausführen» benutzt wurde. Dadurch bleibt der ursprüngliche Auslösemechanismus in Standard-Forensikprüfungen oft unsichtbar, weshalb Untersuchungsteams zusätzlich flüchtige Speicherabbilder und Netzwerkprotokolle auswerten müssen.
• Kommunikation: SIMPLEFIX verbindet sich mit einem Befehls-und-Kontrollserver, empfängt dort verschlüsselte Anweisungen und lädt auf Anfrage PowerShell-Skripte, ausführbare Dateien oder weitere Stager nach. Diese Komponenten werden zur Laufzeit in den Arbeitsspeicher geladen und im Kontext des bestehenden Prozesses ausgeführt, was die Erkennung durch dateibasierte Scanner weiter erschwert.

Fähigkeiten und typische Trefferprofile von SIMPLEFIX

SIMPLEFIX ist bewusst schlank gebaut, bietet aber genau die Funktionen, die für gezielte Ausspähung und Nachladen nötig sind:

• Es kann PowerShell-Skripte ausführen und, wenn lokale Schwachstellen ausgenutzt werden, damit Aktionen mit Administratorrechten durchführen.
• Es durchsucht vordefinierte Ordner gezielt nach bestimmten Dateitypen — vor allem Dokumente, Präsentationen und komprimierte Archive — und liest nur die Dateitypen aus, die für Spionage interessant sind.
• Gefundene Dateien oder Metadaten werden verschlüsselt an externe Steuerungsserver übertragen.
• Bei Bedarf lädt SIMPLEFIX zusätzliche Module oder schreibgeschützte Binärdateien nach, um seine Fähigkeiten modular zu erweitern.

Das Entscheidende ist nicht ein einzelnes Feature, sondern die Kombination: modulare Nachladefähigkeit, gezielte Dateisuche und gezieltes Verbergen von Spuren machen SIMPLEFIX effizient und schwerer zu entdecken.

Indikatoren und forensische Ansatzpunkte

Bei Untersuchungen sind folgende Hinweise besonders aussagekräftig. Diese Elemente prüfen und miteinander abgleichen:

• Auffällige PowerShell-Aufrufe, insbesondere wenn Skripte als Base64-kodierte Blöcke übergeben werden oder PowerShell so gestartet wird, dass Skripte direkt aus dem Netzwerk geladen werden.
• Registry-Schlüssel mit ungewöhnlich großen Binärwerten; nach Decodierung können diese Werte ausführbare Programmteile verbergen.
• Wiederholte, kurze Verbindungen zu untypischen Hostnamen kombiniert mit Anfragen vom Typ POST über das Hypertext Transfer Protocol, die Systemkennwerte übertragen.
• Bereinigte Einträge der Liste der zuletzt ausgeführten Befehle («RunMRU») in der Windows-Registrierungsdatenbank, was auf gezielte Spurenvernichtung hindeutet.
• Prozesse, die dynamische Linkbibliotheken laden oder Programme aus temporären Verzeichnissen starten, insbesondere wenn Kontext oder Ursprung ungewöhnlich sind.

Diese Hinweise gewinnen erst in Kombination an Aussagekraft. Empfehlungen zur Korrelation: Netzwerkanalysen, aufgelistete laufende Prozesse auf Endpunkten und flüchtige Speicherabbilder zusammenführen, um ein vollständiges Lagebild zu erhalten.

Parallelaktivitäten: BO Team und Bearlyfy im Vergleich

Parallel zu den Aktivitäten von COLDRIVER treten weitere Gruppen mit unterschiedlichen Zielen auf:

• BO Team setzt auf Phishing-Mails mit passwortgeschützten Archiven. Darin stecken eine neu entwickelte Variante von BrockenDoor und die in der Programmiersprache Go geschriebene Backdoor ZeronetKit. ZeronetKit ermöglicht Fernzugriff, Dateiübertragung, Kommandoausführung über die Kommandozeile sowie das Einrichten von Tunneln. Damit ZeronetKit dauerhaft im System bleibt, sorgt das separate BrockenDoor-Modul für die notwendige Persistenz.
• Bearlyfy verfolgt ein Erpressungsmodell auf Basis von Ransomware. Die Gruppe begann mit Angriffen auf kleinere Unternehmen, um rasch kleinere Summen Lösegeld zu erpressen – richtet sich aber inzwischen auch gegen größere Organisationen mit größeren Forderungen. Bei einem der letzten Angriffe rief sie 80.000 Euro in Kryptowährung auf. Sie nutzt sie bekannte Schwachstellen und verschafft sich durch seitliche Bewegungen Zugang zu weiteren Systemen im Netzwerk. Zwar gibt es Überschneidungen bei der Infrastruktur mit anderen Akteuren, dennoch wird Bearlyfy als eigenständige Gruppe mit eigener Vorgehensweise eingeschätzt.

Fazit

COLDRIVER zeigt, dass ein modularer Malware-Aufbau, kombiniert mit gezielter sozialer Manipulation, weiterhin ein vielversprechendes Erfolgsmodell ist: BAITSWITCH und SIMPLEFIX sind zwar technisch schlank, aber wirkungsvoll, weil sie vorhandene Systemfunktionen nutzen und Spuren aktiv verwischen, sodass sie leicht unentdeckt bleiben. Parallel operieren andere Gruppen wie BO Team und Bearlyfy, wodurch die Angriffsaktivität in der betroffenen Region zunimmt. Abwehrmaßnahmen müssen technische Schutzmechanismen, laufende Überwachung der Systeme und gezielte Schulung der Anwender verbinden, um mehrstufige Angriffe rechtzeitig zu erkennen und zu stoppen.