„Lorem Ipsum“ : Evolution komplexer Angriffs-Kampagnen schreitet immer schneller voran.
Vor kurzem haben die Sicherheitsanalysten des BlueVoyant Security Operations Centers (SOC) eine neue, global operierende Bedrohungsgruppe identifiziert, die derzeit, über eine ausgeklügelte SEO Poisoning-Kampagne, mit Trojanern versehende Microsoft Teams-Installer zu verbreiten sucht. Ihre seit mindestens Februar 2026 aktive Kampagne zielt auf Anwender ab, die über Suchmaschinen nach einer Möglichkeit suchen, die populäre Kommunikationssoftware Teams zu installieren.
Zusammenfassung (TL; DR):
- Eine neue Cyberkriminellen-Gruppe nutzt manipulierte Google-Suchergebnisse (SEO Poisoning), um über gefälschte Microsoft-Teams-Installer die Schadsoftware „Lorem Ipsum“ zu verbreiten.
- Der technologisch hochentwickelte Loader nutzt kurzlebige Zertifikate zur Umgehung von Sicherheitssoftware, missbraucht legitime Webplattformen als C2-Infrastruktur und versteckt Datenverkehr in JPEG-Bildern.
- BlueVoyant vermutet den Einsatz von KI-Modellen hinter der rasanten Entwicklung der Malware und empfiehlt IT-Verantwortlichen dringend den Wechsel von statischen Erkennungsmerkmalen hin zu verhaltensbasierten Analysen.
Durch Manipulation des Suchvorgangs schaffen es die Angreifer, von ihnen kompromittierte Installationswebseiten bei den Ergebnissen an die erste Stelle zu setzen. Ein auf diesen Webseiten platziertes PHP-Skript erfasst dann die IP-Adressen der Opfer und liefert diesen den Schad-Installer aus. Am Ende der Kampagne steht die Installation einer mehrstufigen Shellcode-Loader– und Backdoor-Kombination, welcher die Sicherheitsanalysten von BlueVoyant den Namen ‚Lorem Ipsum‘ gegeben haben.
Technisch brisant macht die Kamagne vor allem die systematische, ressourcenintensive Umgehung etablierter Sicherheitsmechanismen. Die trojanisierten MSI-Installer sind mit validen, über Microsoft-ID verifizierten Code-Signing-Zertifikaten ausgestattet. Diese weisen jedoch eine maximale Gültigkeit von lediglich drei Tagen auf – ein gezielter „Burn Cycle“, um EDR-Lösungen zu täuschen. Die Ausführung der Schadsoftware beginnt im Verborgenen: Eine MSI-Aktion startet unsichtbar im Hintergrund über einen PowerShell-Loader – während im Vordergrund der legitime Teams-Installer läuft. Im Zuge einer rasanten architektonischen Reifung hat die Gruppierung die Verschleierung ihrer Payload-Bereitstellung innerhalb weniger Wochen deutlich optimieren können. Setzte sie anfangs auf einfache, via gzip komprimierte Payloads, nutzt sie mittlerweile externe AES-Schlüssel, die über MSI-Perimeter übergeben werden.
Lorem Ipsum“-Loaders missbraucht legitimer Webdienste
Eine der innovativsten Taktiken des „Lorem Ipsum“-Loaders ist der Missbrauch legitimer Webdienste als „Dead-Drop-Resolver“ für die Command-and-Control (C2)-Infrastruktur. Anstatt C2-Domänen fest in den Code zu integrieren, nutzt die Gruppierung die Frage-und-Antwort-Plattform letsdiskuss[.]com. Dort legen die Angreifer Profile an und verstecken in den Profilbeschreibungen kodierte C2-Informationen. Als Tarnung dient ihnen der bekannte „Lorem Ipsum“-Blindtext, in dem die eigentlichen Daten, zwischen spezifischen Begrenzungszeichen, eingebettet sind. Der Loader ruft diese Seiten über reguläre HTTP-Anfragen auf, extrahiert die Zeichenketten und berechnet dann die finalen C2-Domänen.
Sobald diese aufgelöst sind, greift eine weitere, hochgradig ungewöhnliche Verschleierungstechnik: Die gesamte C2-Kommunikation wird in JFIF-Bilddateien (JPEG) gekapselt. Der Loader sendet seine Anfragen mit einem „image/jpeg“-Header. Verschlüsselte Payloads oder Systeminformationen werden einfach über die regulären Bildgrenzen hinaus angehängt und über eine maßgeschneiderte XOR-Routine verschlüsselt übertragen.
Die Gesamtanalyse des BlueVoyant SOC lässt auf eine finanziell gut ausgestattete Gruppe Cyberkrimineller schließen, die möglicherweise als Initial Access Broker (IAB) fungieren. Die operative Geschwindigkeit der Gruppe scheint beispiellos: Innerhalb von nur gerade einmal knapp zehn Wochen entwickelte sie die Schadsoftware von einem simplen Test-Build zu einer hochgradig ausgereiften Loader-Kette mit DLL-Sideloading, dynamischer API-Auflösung und steganografischer C2-Kommunikation über UUID-getrackte Pfade weiter. Diese enorme Entwicklungsgeschwindigkeit legt die Vermutung nahe, dass die Angreifer bei der Code-Erstellung auf Large Language Models (LLMs) zurückgegriffen haben. KI-gestützte Workflows ermöglichen es modernen Bedrohungsakteuren mittlerweile, ihre Toolsets in einem Bruchteil der bisher üblichen Zeit zu optimieren.
Für IT-Sicherheitsverantwortliche ergibt sich aus all dem eine klare Handlungsempfehlung: Da die Angreifer ihre Infrastruktur in immer rasanterem Tempo weiterentwickeln, laufen statische Indicators of Compromise (IOCs) zunehmend ins Leere. Die Verteidigung muss deshalb zwingend auf verhaltensbasierte Anomalie-Erkennung umgestellt werden. Zu den kritischen Warnsignalen zählen hier etwa der Netzwerkverkehr von Nicht-Browser-Prozessen zu letsdiskuss[.]com, JFIF-formatierte POST-Anfragen an ungewöhnliche Endpunkte sowie das Starten versteckter PowerShell-Instanzen durch msiexec mit Schreibzugriffen im Dateisystem. Weitere Signale dürften schon bald hinzukommen. Fürs Erste dürften die vom BlueVoyant SOC dokumentierten Verhaltensmuster aber dennoch ein solides Fundament bilden, um diese und ähnlich fortschrittlich operierende Cyberkampagnen proaktiv erkennen und erfolgreich abwehren zu können.
