NarwhalRAT: Nordkoreanische Hacker tarnen Malware als Microsoft-Warnung
15.06.2026 - 13:40:50 | boerse-global.de
Die Attacken richten sich gezielt gegen Technologie-, Finanz- und Bildungsunternehmen.
Die Hacker setzen dabei neuartige Schadsoftware ein. Sie nutzen manipulierte Systembenachrichtigungen und gefälschte Plattformen als Köder, um sensible Daten abzugreifen.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Anti-Phishing-Paket für Unternehmen kostenlos anfordern
NarwhalRAT tarnt sich als Microsoft-Sicherheitswarnung
Die Sicherheitsfirma Genians hat eine Kampagne entdeckt, die seit Mitte Juni südkoreanische IT-Infrastrukturen attackiert. Dahinter steckt der als APT37 bekannte nordkoreanische Akteur.
Die Malware heißt NarwhalRAT und ist in Python geschrieben. Der Angriff beginnt mit Phishing-E-Mails, die wie offizielle Nachrichten des Microsoft Account Teams aussehen. Sie warnen vor angeblichen Problemen bei der Einmalpasswort-Abfrage (OTP).
Im E-Mail-Anhang steckt eine manipulierte Verknüpfungsdatei (.lnk). Öffnet der Nutzer sie, installiert sich im Hintergrund die Schadsoftware. Gleichzeitig zeigt das System ein legitimes Sicherheitsdokument an – der Angriff bleibt unsichtbar.
NarwhalRAT hat über 30 Funktionen: Keylogging, Screenshots, Mikrofonzugriff und Datendiebstahl von USB-Geräten. Besonders perfide: Die Software sammelt gezielt Daten aus dem südkoreanischen Messenger KakaoTalk und tarnt sich in Ordnern des Naver-Whale-Browsers.
Entwickler im Visier – Angriffe über GitHub
Parallel dazu läuft eine zweite Kampagne namens UNK_DeadDrop. Das Sicherheitsunternehmen Proofpoint hat sie identifiziert. Die Angreifer zielen auf Softwareentwickler ab – ihnen geht es um Zugangsdaten und Kryptowährungen.
Die Hacker verschicken Phishing-Mails mit gefälschten Jobangeboten oder Code-Reviews. Die Kampagne ist plattformübergreifend und infiziert Windows-, Linux- und macOS-Systeme. Als Einfallstor dienen manipulierte GitHub-Repositories.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen wie NarwhalRAT oder UNK_DeadDrop. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gesetzliche Anforderungen erfüllen. Kostenloses Cyber-Security E-Book jetzt herunterladen
Besonders tückisch: Die Kommunikation mit den Steuerungs-Servern läuft über kompromittierte regionale Websites und Cloud-Dienste wie pCloud. Herkömmliche Sicherheitslösungen entdecken die Angriffe dadurch schwerer.
Alte Tricks, neue Welle
Die NarwhalRAT-Kampagne ähnelt früheren APT37-Angriffen. Analysten fanden Übereinstimmungen mit einem Angriff aus dem Mai 2025 – dieselben Dateinamen, dieselben Tarnmechanismen. Auch eine Deepfake-Kampagne aus dem Frühjahr 2026 weist Parallelen auf.
Die Malware filtert Daten nach aktiven Fenstern und blendet Hintergrundprozesse aus. So wird die Spionage effizienter. Die gesammelten Informationen gehen gebündelt an die Angreifer.
Sicherheitsexperten raten zu verhaltensbasierter Erkennung. Signaturbasierte Scanner kommen bei diesen Angriffen schnell an ihre Grenzen. Besonders kritisch: E-Mails mit ZIP-Anhängen und Verknüpfungsdateien – selbst wenn der Absender legitim wirkt.
