Die russlandnahe Gruppe APT29 ist für eine neue Kampagne verantwortlich, bei der ein bisher unbekannter Loader namens GRAPELOADER sowie eine aktualisierte Version von WINELOADER eingesetzt werden. Ziel waren primär diplomatische Einrichtungen in Europa sowie in geringerem Maße im Nahen Osten. Die Angriffe begannen mit Phishing-Mails zu angeblichen Weinverkostungen, versendet über gefälschte Domains wie bakenhof[.]com und silry[.]com. Die ZIP-Anhänge nutzten legitime PowerPoint-Dateien für DLL-Sideloading und ermöglichten so den Erstzugriff. GRAPELOADER sammelt Systeminformationen, modifiziert die Windows-Registry zur Persistenz und lädt zusätzliche Payloads nach. Check Point berichtet, dass letztlich WINELOADER ausgeführt wird. Die Kampagne zeigt moderne Evasion-Techniken wie Sandbox-Umgehung und speicherbasierte Injektion. Sie reiht sich ein in eine Serie russischer Operationen, darunter Gamaredons USB-basierte Angriffe auf ukrainische Systeme mit PteroLNK-Malware.
Analyse unserer experten
APT29 setzt weiterhin auf strukturierte, mehrstufige Angriffe mit Fokus auf Persistenz und Unauffälligkeit. GRAPELOADER ist ein weiteres Beispiel für die Entwicklung hin zu modularen Loadern, die flexible und verdeckte Malware-Installationen ermöglichen. Die Verwendung eines kulturellen Themas wie Weinverkostung zeigt, dass klassische Social-Engineering-Ansätze auch 2025 Wirkung zeigen, sofern sie gut umgesetzt sind. Technisch bringt die Kampagne keine revolutionären Neuerungen, aber sie markiert einen klaren Fortschritt in der Tarnung und Effizienz der Infektionskette. APT29 verfolgt damit konsequent das Ziel, dauerhaften Zugang zu diplomatischen Netzwerken zu sichern, und agiert weiterhin im Einklang mit staatlich gelenkten Aufklärungszielen im geopolitischen Kontext.
Den vollständigen artikel lesen.
