Thought Leadership
Ein russisches Hackerteam hat seinen Schadcode massiv weiterentwickelt. Die Malware GIFTEDCROOK kann inzwischen weit mehr als nur Browserdaten abgreifen – und wurde offenbar gezielt rund um die Friedensverhandlungen in der Ukraine eingesetzt.
Spionage-Upgrade aus dem Untergrund
Arctic Wolf Labs, das Forschungsteam für Cyberbedrohungen von Arctic Wolf, warnt vor einer neuen Qualität russischer Cyberangriffe. Die Gruppe UAC-0226, die bereits für den Infostealer GIFTEDCROOK bekannt ist, hat ihr Tool in den vergangenen Monaten massiv weiterentwickelt. War GIFTEDCROOK anfangs lediglich in der Lage, Browserdaten wie Cookies oder gespeicherte Passwörter zu stehlen, so zeigt die Analyse neuer Versionen (v1.2 und v1.3), dass die Malware inzwischen eine vollwertige Spionageplattform ist.
Die ersten Prototypen der weiterentwickelten Variante tauchten im Februar 2025 auf, offenbar zunächst als Testlauf. Nur wenige Wochen später, im März, wurde das Tool aktiv eingesetzt. Seither wurde GIFTEDCROOK kontinuierlich verbessert – sowohl technisch als auch im Hinblick auf die Tarnung und den Einsatzkontext.
Gezielte Cyberangriffe auf politische Ziele
Im Juni 2025 häuften sich dann die Einsätze der neuen GIFTEDCROOK-Version – zeitlich auffällig abgestimmt auf die Friedensgespräche zwischen der Ukraine und Russland in Istanbul. Während dort über den Austausch von Gefangenen und gefallenen Soldaten verhandelt wurde, starteten russische Hacker offenbar eine Kampagne, um mit Hilfe von Spear-Phishing-Attacken an sensible Informationen ukrainischer Militär- und Regierungseinrichtungen zu gelangen.
Die neue GIFTEDCROOK-Version wurde dabei genutzt, um gezielt Dokumente von kompromittierten Systemen zu stehlen. Besonders brisant: Die Malware kann mittlerweile auch verschlüsselte Dateien exfiltrieren und verwendet zur Datenübertragung einen Cloudspeicher-Dienst – was die Erkennung und Abwehr weiter erschwert.
Analyse der Angriffsmethoden
Neben der technischen Weiterentwicklung der Malware untersuchte Arctic Wolf Labs auch die eingesetzten Social-Engineering-Techniken. Besonders im Fokus standen dabei gefälschte E-Mails, die sich als offizielle Mitteilungen tarnen sollten, sowie die Analyse von Header-Daten und verwendeten Domains. Auch die in den Phishing-Kampagnen eingesetzten Metadaten wurden ausgewertet, um Rückschlüsse auf die Angreiferstruktur zu ermöglichen.
Bereits im April hatte das ukrainische CERT (CERT-UA) gewarnt, dass die Gruppe UAC-0226 kritische Infrastrukturen im Land ins Visier nehme. Die nun von Arctic Wolf veröffentlichten Erkenntnisse zeigen: Die Bedrohung durch GIFTEDCROOK ist nicht nur real, sondern wächst mit jeder Version.
Fazit
Die Entwicklung von GIFTEDCROOK zeigt eindrücklich, wie sich Cyberspionage-Tools innerhalb weniger Wochen zu hochkomplexen Angriffswerkzeugen wandeln können. In Verbindung mit geopolitischen Ereignissen wird deutlich: Der digitale Krieg ist längst Realität – und spielt eine zentrale Rolle in internationalen Konflikten.
Weitere Informationen zum Thema finden Sie hier im Arctic Wolf-Blog.
(vp/Arctic Wolf)
