Thought Leadership
Die Schadsoftware-Kampagne WeedHack hat seit Januar 2026 über 116.000 Computer von Minecraft-Spielern infiziert und verbreitet sich rasant.
Seit Beginn des Jahres 2026 registrieren IT-Sicherheitsanalysten eine Infektionswelle, die gezielt Anwender des weltweit meistverkauften Videospiels Minecraft ins Visier nimmt. Nach aktuellen Telemetriedaten des IT-Sicherheitsunternehmens McAfee wurden im Rahmen der als WeedHack identifizierten Kampagne bereits 116.464 Computersysteme kompromittiert. Die Ausbreitungsgeschwindigkeit der Schadsoftware bleibt konstant hoch, wobei die Experten im Durchschnitt täglich zwischen 2000 und 3000 Neuinfektionen dokumentieren.
Geografisch konzentrieren sich die Angriffe im Jahr 2026 primär auf vier Nationen. Die am stärksten betroffenen Regionen sind die Vereinigten Staaten von Amerika, Deutschland, Indien und das Vereinigte Königreich. Das enorme Ausmaß der kriminellen Operation spiegelt sich auch in der genutzten Infrastruktur wider. Die Sicherheitsforscher identifizierten bislang mehr als 240 präparierte Download-Links sowie 3820 eindeutige, manipulierte Java-Archivdateien (JAR-Dateien), die für die Infektion der Spielsysteme verwendet werden.
Verbreitungswege über Videoplattformen und Suchmaschinenmanipulation
Die Hintermänner der WeedHack-Kampagne setzen bei der Verteilung der Schadsoftware auf zwei hochentwickelte und aufeinander abgestimmte Verbrezungsmechanismen. Der erste Hauptvektor ist das Ausnutzen der Videoplattform YouTube. Die Angreifer erstellen optisch professionelle und überzeugend gestaltete Videos, in denen vermeintlich nützliche Minecraft-Modifikationen, Cheat-Software, alternative Spiele-Clients oder Systemwerkzeuge vorgestellt und demonstriert werden.
Um eine hohe Authentizität vorzutäuschen, sind einige dieser Videos mit echten Sprecherstimmen vertont und mit passender Hintergrundmusik untermalt, was dazu führte, dass einzelne Clips vor ihrer Löschung über 7500 Aufrufe verzeichneten. Die schädlichen Download-Verweise werden von den Tätern in den Videobeschreibungen sowie in den angepinnten Kommentarsektionen platziert, oft flankiert von gefälschten positiven Nutzerbewertungen.
Der zweite Vektor basiert auf der gezielten Manipulation von Suchmaschinenergebnissen, dem sogenannten SEO-Poisoning. Die Angreifer optimieren ihre gefälschten Download-Portale für spezifische Suchbegriffe, die bekannten und populären Minecraft-Projekten entsprechen. Zu den aktiv attackierten Modifikationen und Clients gehören unter anderem:
- Meteor Client und Radium Client
- Wurst Client und Aristois
- LiquidBounce und Impact Client
- Future Client und Inertia Client
- Cornos Client und WWE Client
- 3arthh4ck, Salhack, Phobos sowie Gamesense
Da viele dieser quelloffenen Gemeinschaftsprojekte über keine eigene, kommerzielle Webpräsenz verfügen, sondern ausschließlich auf Entwicklungsplattformen wie GitHub gehostet werden, gelingt es den Fälschern leicht, mit ihren präparierten Webseiten die vorderen Plätze bei den Suchmaschinen zu besetzen. In einem im McAfee-Bericht dokumentierten Fall gingen die Betreiber einer gefälschten Webseite so weit, eine explizite Sicherheitswarnung einzubauen.
Die Besucher wurden auf der schädlichen Seite scheinbar davor gewarnt, die Modifikation Skytils nur von offiziellen Quellen herunterzuladen. Durch das Verlinken auf das tatsächliche, legitime GitHub-Repository und den echten Discord-Server des Originalprojekts wurde eine falsche Legitimität erzeugt, um das Vertrauen der Opfer zu erschleichen, während der eigentliche Download-Button die infizierte Datei auslieferte.
Funktionsweise des Malware-as-a-Service-Modells für Minecraft
Aus technologischer Sicht operiert WeedHack nach dem kommerziellen Prinzip des Malware-as-a-Service (MaaS). Das bedeutet, dass die eigentlichen Entwickler der Schadsoftware die Infrastruktur und das Schadprogramm an andere, oft technisch weniger versierte Akteure vermieten oder bereitstellen. Ungewöhnlich für eine Infostealer-Operation ist dabei, dass die Plattform im regulären Internet (Clearnet) gehostet wird und einen kostenlosen Zugang für jedermann anbietet. Kunden erhalten nach der Registrierung Zugriff auf ein übersichtliches Administrations-Dashboard. Dieses bietet eine grafische Übersicht über die infizierten Opfer, detaillierte Systemprofile der kompromittierten Rechner sowie die Möglichkeit, über einen integrierten Konfigurator (Payload Builder) maßgeschneiderte Schaddateien für die Minecraft-Versionen 1.21.0 bis 1.21.10 zu generieren.
Das System ist in zwei unterschiedliche Leistungsklassen aufgeteilt, die den Kunden zur Verfügung stehen:
| Leistungsklasse | Preisstruktur | Enthaltene Funktionen und Diebstahl-Ziele |
| Kostenfreie Basisstufe | 0,00 US-Dollar | Diebstahl von Minecraft-Sitzungs-IDs (Session IDs), Abgreifen von Cookies und gespeicherten Passwörtern aus 36 Browsern, Diebstahl von Zugangsdaten für Discord, Steam und Telegram, Auslesen von 56 Krypto-Browser-Erweiterungen und 12 Desktop-Krypto-Wallets, Anfertigen von Bildschirmfotos. |
| Kostenpflichtige Premiumstufe | 5,00 US-Dollar pro Monat oder 24,99 US-Dollar lebenslang | Alle Funktionen der Basisstufe plus vollständige Fernsteuerung des Rechners (Remote Access) mit Maus- und Tastaturzugriff, Live-Zugriff auf die Webcam, Protokollierung von Tastatureingaben (Keylogger), eine interaktive Eingabeaufforderung (Remote Shell) und administrative Dateiverwaltung. |
EtherHiding und die Problematik des Cybermobbings unter Jugendlichen
Eine vertiefte technische Analyse des Schadprogramms durch die Sicherheitsforensiker von McAfee legte zudem hochentwickelte Verschleierungsmechanismen offen. Die Schadsoftware nutzt eine Methode namens EtherHiding, um die Verbindung zu ihren Steuerungsserveren (Command and Control Server, C2) aufzubauen. Dabei hinterlegen die Betreiber die jeweils aktuellen IP-Adressen oder Domainnamen der Server verschlüsselt innerhalb der Ethereum-Blockchain. Das Schadprogramm liest diese Informationen dezentral aus der Blockchain aus, verifiziert die Antworten mittels einer digitalen RSA-Signatur und baut erst dann die Kommunikation auf. Diese Taktik erschwert eine behördliche Abschaltung der Infrastruktur erheblich, da die Blockchain nicht blockiert werden kann.
Neben den finanziellen Motiven, wie dem Diebstahl von Spielekonten und Kryptowährungen, dokumentierten die Analysten bei der Überwachung des zugehörigen Telegram-Kanals, der über 800 Mitglieder zählt, eine besorgniserregende soziale Komponente. Bei einem Großteil der Kunden, welche die Premium-Funktionen erwerben, handelt es sich um Teenager und junge Erwachsene. Diese nutzen die Werkzeuge zur Fernsteuerung und Webcam-Überwachung nicht primär zur Bereicherung, sondern um Gleichaltrige im virtuellen Raum gezielt zu überwachen, zu bedrohen und zu schikanieren. Das Schadprogramm fungiert in diesem Kontext als Werkzeug für schwerwiegendes Cybermobbing unter Jugendlichen, was die Bedrohung über den reinen Datenverlust hinaus erweitert. Spieler werden dringend dazu aufgerufen, Modifikationen ausschließlich über verifizierte Plattformen oder den integrierten Minecraft Marketplace zu beziehen.
