Eine neu entdeckte Malware-Kampagne gegen ukrainische Organisationen zeigt, wie sich Angriffe zunehmend in legitime Anwendungen verlagern. Im Zentrum steht die JavaScript-basierte Backdoor DRILLAPP, die laut LAB52 nicht als klassischer Schadcode mit eigener Oberfläche auftritt, sondern gezielt Funktionen des Microsoft-Edge-Browsers missbraucht. The Hacker News griff die Analyse am 16. März 2026 auf und machte damit eine Entwicklung sichtbar, die auch für Unternehmen und Behörden außerhalb der Ukraine relevant ist: Wenn Browser zum Angriffswerkzeug werden, reichen klassische Erkennungsmuster oft nicht mehr aus.
Beobachtet wurde die Kampagne im Februar 2026. In einer ersten Variante nutzten die Angreifer LNK-Dateien, die eine HTA-Datei im temporären Verzeichnis erzeugen und anschließend ein entfernt gehostetes Skript von Pastefy laden. Zur Tarnung kamen Lockmittel mit juristischem oder wohltätigem Bezug zum Einsatz, darunter Inhalte rund um Starlink und die ukrainische Stiftung Come Back Alive. Laut LAB52 wurden die LNK-Dateien zudem in den Windows-Startup-Ordner kopiert, um Persistenz herzustellen.
Wie DRILLAPP Microsoft Edge missbraucht
Besonders auffällig ist der technische Ansatz. DRILLAPP startet Microsoft Edge im Headless-Modus und versieht den Browser mit Parametern wie –no-sandbox, –disable-web-security, –allow-file-access-from-files sowie Optionen, die den Zugriff auf Mikrofon, Kamera und Bildschirmaufnahme ohne klassische Nutzerinteraktion erleichtern. LAB52 beschreibt die Malware deshalb als leichte Backdoor, die Dateizugriffe, Audioaufnahmen, Webcam-Bilder und Screen-Captures direkt über Browser-Funktionen ermöglicht.
In einer zweiten Variante, die LAB52 Ende Februar 2026 identifizierte, wechselten die Angreifer von LNK-Dateien auf CPL-Dateien. Inhaltlich blieb die Infektionslogik ähnlich, funktional wurde die Backdoor jedoch ausgebaut: Neu hinzu kamen rekursive Dateiauflistung, gebündeltes Hochladen von Dateien und das Nachladen von Dateien aus dem Internet. Um Downloads trotz Browser-Sicherheitsgrenzen umzusetzen, nutzten die Angreifer laut LAB52 das Chrome DevTools Protocol, das bei aktivierter Remote-Debugging-Schnittstelle zusätzliche Eingriffe erlaubt.
Bei der Zuschreibung ist Zurückhaltung Pflicht. LAB52 sieht Überschneidungen zu Aktivitäten von Laundry Bear, bezeichnet die Verbindung aber ausdrücklich nur mit niedriger Sicherheit. Als Indizien nennt das Team unter anderem ähnliche Lockmittel und die Nutzung öffentlicher Text-Sharing-Dienste für operative Artefakte. Unabhängig davon führt Microsoft Void Blizzard alias Laundry Bear als russlandnahen Spionageakteur, der vor allem NATO-Staaten und die Ukraine ins Visier nimmt. Ein direkter, abschließend bestätigter Nachweis, dass DRILLAPP tatsächlich dieser Gruppe zuzuordnen ist, liegt in den öffentlich verfügbaren Quellen bislang jedoch nicht vor.
Warum der Fall für IT-Entscheider relevant ist
Für IT-Entscheider ist der Fall vor allem deshalb relevant, weil er ein bekanntes Muster verschärft: Angreifer missbrauchen nicht nur legitime Tools, sondern gezielt vertrauenswürdige Standardsoftware. Wer Browser-Aktivität nur oberflächlich überwacht, kann solche Angriffe leicht übersehen.
Was Unternehmen jetzt prüfen sollten
Sinnvoll sind daher strengere Kontrollen für ungewöhnliche Browser-Starts mit Debugging-Parametern, eine restriktive Vergabe von Kamera-, Mikrofon- und Screen-Capture-Rechten sowie eine genauere Beobachtung von Skriptketten, die über LNK-, HTA- oder CPL-Dateien ausgelöst werden.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.