Skitnet: Neue Multi-Stage-Malware ermöglicht Ransomware-Gruppen verdeckten Systemzugriff : Cyberkriminelle kombinieren Rust und Nim, um Sicherheitssysteme zu umgehen – Experten warnen vor zunehmender Professionalisierung der Angriffe
Mehrere Ransomware-Gruppen setzen seit Anfang 2025 eine neue Malware namens Skitnet ein, um nach dem Eindringen in Systeme unbemerkt Daten zu stehlen und Fernzugriffe zu etablieren. Die Schadsoftware nutzt moderne Programmiersprachen und fortschrittliche Tarnungstechniken, um herkömmliche Sicherheitslösungen zu umgehen.
Sicherheitsexperten des Schweizer Unternehmens PRODAFT beobachten eine zunehmende Verbreitung der Malware Skitnet, die ursprünglich von der Bedrohungsgruppe LARVA-306 entwickelt wurde. Das Schadprogramm wurde erstmals im April 2024 auf Untergrundforen wie RAMP angeboten und wird inzwischen verstärkt bei realen Angriffen eingesetzt.
Einsatz durch bekannte Ransomware-Gruppen
Die Ransomware-Gruppe Black Basta setzte Skitnet im April 2025 im Rahmen von Phishing-Kampagnen ein, die als Microsoft-Teams-Benachrichtigungen getarnt waren und sich gezielt gegen Unternehmen richteten. Die Malware, die auch unter dem Namen Bossnet bekannt ist, operiert weitgehend unsichtbar durch eine Architektur, die auf moderne, wenig verbreitete Programmiersprachen setzt und klassische Erkennungsmethoden umgeht.
Technische Funktionsweise und mehrstufiger Aufbau
Skitnet arbeitet in mehreren Stufen. Zunächst wird eine ausführbare Datei in Rust gestartet, die wiederum eine in Nim geschriebene Schadkomponente entschlüsselt und ausführt. Diese Komponente etabliert eine sogenannte Reverse Shell über DNS – eine Verbindungstechnik, bei der der infizierte Rechner regelmäßig Anfragen an den Command-and-Control-Server (C2) sendet, Befehle empfängt und Rückmeldungen liefert.
Zur Umgehung von Sicherheitsmechanismen nutzt Skitnet keine festen Importtabellen, sondern ruft Windows-API-Funktionen dynamisch über GetProcAddress auf. Dadurch wird die statische Analyse der Malware deutlich erschwert. Zudem sendet die Nim-Komponente alle zehn Sekunden DNS-Anfragen, verarbeitet eingehende Befehle und führt sie direkt auf dem kompromittierten System aus.
Die Malware unterstützt unter anderem folgende Funktionen:
• Startup – legt Autostart-Einträge an und sorgt für dauerhafte Präsenz im System
• Screen – erstellt Screenshots des Desktops
• Anydesk/Rutserv – installiert legale Fernzugriffssoftware wie AnyDesk oder Remote Utilities
• Shell – führt PowerShell-Skripte aus und sendet Ergebnisse zurück
• AV – listet installierte Sicherheitslösungen auf
Ein weiteres Merkmal von Skitnet ist seine Modularität. Die Schadsoftware kann zusätzliche Komponenten nachladen, etwa über einen .NET Loader, der weitere Payloads überträgt. Dadurch lässt sich der Funktionsumfang flexibel erweitern – je nach Ziel und Taktik der Angreifer.
Herausforderungen für die IT-Sicherheit
Für IT-Sicherheitsverantwortliche stellt Skitnet eine besondere Herausforderung dar: Die Kombination aus modernen Programmiersprachen, verschlüsselter Kommunikation und legitimen Tools erschwert die Erkennung erheblich. Hinzu kommt der gezielte Einsatz in Phishing-Kampagnen, die gängige Kommunikationsplattformen imitieren.
Mit Skitnet etabliert sich eine neue Malware-Generation, die speziell für die Nach-Exploitation-Phase von Ransomware-Angriffen entwickelt wurde. Ziel ist nicht in erster Linie die Verschlüsselung von Daten, sondern die langfristige, unentdeckte Kontrolle über Systeme. Unternehmen sollten ihre Erkennungs- und Reaktionsfähigkeiten an diese Bedrohung anpassen – insbesondere durch Analyse von DNS-Verkehr und verdächtigen Prozessen.
TransferLoader: Neue Ransomware-Technik mit dezentralem Rückkanal
Die Skitnet-Enthüllung fällt zusammen mit der Analyse einer weiteren neuartigen Malware durch Zscaler ThreatLabz. Die Sicherheitsforscher untersuchten TransferLoader, ein Schadprogramm, das derzeit zur Verbreitung der Ransomware Morpheus genutzt wird. Ziel eines aktuellen Angriffs war eine amerikanische Anwaltskanzlei.
TransferLoader ist seit mindestens Februar 2025 im Einsatz und besteht aus drei Komponenten:
• einem Downloader
• einer Hintertür (Backdoor)
• und einem speziellen Ladeprogramm für diese Backdoor.
Diese Kombination erlaubt den Angreifern vollständige Kontrolle über ein kompromittiertes System.
Technische Details zu TransferLoader
So funktioniert TransferLoader im Detail:
Downloader:
Der erste Bestandteil von TransferLoader lädt eine Schadsoftware von einem Command-and-Control-Server (C2) herunter und führt sie auf dem Zielsystem aus. Parallel öffnet er eine harmlose PDF-Datei, um den Angriff zu verschleiern und keinen Verdacht zu erregen.
Backdoor:
Nach erfolgreicher Installation übernimmt die Hintertür die Kontrolle. Sie empfängt regelmäßig Befehle vom C2-Server und kann ihre Konfiguration selbstständig aktualisieren.
Spezial-Loader:
Ein spezielles Ladeprogramm sorgt dafür, dass die Backdoor stabil in das System eingebunden wird und auch nach Neustarts zuverlässig funktioniert.
Fallback über IPFS:
Sollte der Hauptserver nicht erreichbar sein, nutzt TransferLoader das dezentrale InterPlanetary File System (IPFS) als Ausweichkanal. Darüber können weiterhin Befehle empfangen oder neue C2-Adressen bezogen werden – unabhängig von einer zentralen Infrastruktur.
Zudem verwenden die Entwickler auch hier weitere Verschleierungstechniken, die eine Analyse des Schadcodes erschweren. So bleibt die Malware länger aktiv – und unentdeckt.
(Quellen: The Hacker News, PRODAFT, Zscaler ThreatLabz / Dieser Beitrag wurde mithilfe von KI-Tools erstellt und redaktionell geprüft.)