Zum Hauptinhalt springen

Neues Botnetz bedroht Windows-Nutzer

20. November 2025

Vermutlich russischsprachiger Akteur mit Verbindung zu 123 Stealer

  • Botnetz verbreitet sich unter dem Deckmantel von „Valorant“, „CS2“ und „R6x“
  • Tsundere nutzt Web3-Smart-Contracts zur Speicherung von C2-Adressen

Kaspersky hat ein neues Botnetz eines vermutlich russischsprachigen Akteurs identifiziert, das sich seit Juli 2025 im Aufbau befindet [1]. Zur Aus- und Verbreitung wird ein als Installationsdatei getarnter MSI-Installer genutzt, der vorgeblich beliebte Spiele wie „Valorant“, „CS2“, „R6x“ oder andere Software installiert. Das Botnetz breitet sich derzeit aktiv aus und stellt eine unmittelbare Bedrohung für Windows-Nutzer dar.

Cyberkriminelle bauen derzeit ein Botnet namens Tsundere über einen gefälschten MSI-Installer für Windows aus. Der Installer tarnt sich unter dem Deckmantel beliebter Spiele wie „Valorant“, „CS2“, „R6x“ oder als andere Anwendungen. Kaspersky hat Infektionen bereits in Mexiko, Chile, Russland und Kasachstan nachgewiesen; mit einer weiteren Ausbreitung ist zu rechnen.

Das Tsundere-Botnetz nutzt Web3-Smart-Contracts zur Speicherung der Command-and-Control-Adressen (C2), was die Widerstandsfähigkeit und Flexibilität der Infrastruktur deutlich erhöht. Das zugehörige C2-Panel unterstützt zwei Verteilungsformate: ein MSI-Installationsprogramm sowie ein PowerShell-Skript mit automatisch generierten Implantaten. Diese Implantate installieren einen Bot, der den dynamisch vom C2-Server über einen verschlüsselten WebSocket-Kanal übermittelten JavaScript-Code ausführt. Dadurch kann der Angreifer jederzeit schädlichen Code nachladen.

Zur Verwaltung der Infektionen und zur Aktualisierung der C2-Standorte verwendet das Botnetz feste Referenzen auf der Ethereum-Blockchain, darunter eine bestimmte Wallet und einen zugehörigen Smart Contract. Ein Wechsel des C2-Servers erfordert lediglich eine Transaktion, die die Statusvariable des Contracts mit der neuen Adresse aktualisiert. Zum erweiterten Ökosystem des Botnetzes gehören zudem ein integrierter Marktplatz sowie ein Kontrollpanel, die beide über eine zentrale Nutzeroberfläche zugänglich sind.

Wahrscheinlich russischsprachiger Akteur mit Verbindung zu 123 Stealer

Die Experten von Kaspersky gehen mit hoher Wahrscheinlichkeit davon aus, dass es sich bei dem verantwortlichen Akteur um einen russischsprachigen Angreifer handelt. Der Quellcode enthält russischsprachige Elemente, die mit früheren Aktivitäten in Verbindung stehen, die demselben Angreifer zugeschrieben wurden. Darüber hinaus bestehen Hinweise auf eine Verbindung zum 123 Stealer, einem von „koneko“ entwickelten Tool, das in einem Untergrundforum für 120 US-Dollar pro Monat angeboten wird.

„Tsundere zeigt eindrucksvoll, wie schnell sich Cyberkriminelle an veränderte technologische Bedingungen anpassen“, erklärt Lisandro Ubiedo, Senior Security Expert im Global Research and Analysis Team (GreAT) von Kaspersky. „Es handelt sich um einen weiteren Versuch eines vermutlich bereits bekannten Angreifers, sein Arsenal zu modernisieren. Durch die Integration von Web3-Mechanismen wird seine Infrastruktur erheblich robuster und anpassungsfähiger. Wir beobachten bereits eine aktive Verbreitung über gefälschte Spieleinstallationsprogramme und Links, die mit früheren schädlichen Aktivitäten in Verbindung stehen. Eine Weiterentwicklung dieses Botnetzes ist daher sehr wahrscheinlich.“

Kaspersky-Tipps zum Schutz vor Gefahren wie Tsundere

  • Ausschließlich lizenzierte Software sowie offizielle Spieleplattformen verifizierter Herausgeber verwenden, um Geräte vor unbefugtem Zugriff zu schützen.
  • Keine ausführbaren Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen herunterladen.
  • Bei Mails von unbekannten Absendern, die zur Installation von Anwendungen über unbekannte Websites auffordern, Vorsicht walten lassen.
  • Regelmäßig Software aktualisieren, starke Passwörter nutzen und, wo möglich, Zwei-Faktor-Authentifizierung aktivieren.
  • Eine vertrauenswürdige Sicherheitslösung wie Kaspersky Premium [2] nutzen, die vor Bedrohungen schützt und Tipps für mehr Sicherheit gibt.

Weitere Informationen sind verfügbar unter https://securelist.com/tsundere-node-js-botnet-uses-ethereum-blockchain/117979/

 

[1] https://securelist.com/tsundere-node-js-botnet-uses-ethereum-blockchain/117979/ 

[2] https://kas.pr/re3t


Nützliche Links:

 

Neues Botnetz bedroht Windows-Nutzer

Vermutlich russischsprachiger Akteur mit Verbindung zu 123 Stealer
Kaspersky logo

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Die tiefgreifende Threat Intelligence und die Sicherheitsexpertise von Kaspersky bilden die Basis für innovative Lösungen und Dienstleistungen zum Schutz von Privatanwendern, Unternehmen, kritischen Infrastrukturen und Regierungen weltweit. Bis heute hat Kaspersky über eine Milliarde Geräte vor neu auftretenden Cyberbedrohungen und gezielten Angriffen geschützt. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden digitalen Schutz für private Geräte, spezialisierte Sicherheitsprodukte und -dienstleistungen für Unternehmen sowie Lösungen für die Cyber-Immunität zur Bekämpfung komplexer und sich ständig weiterentwickelnder digitaler Bedrohungen. Wir helfen Millionen von Privatanwendern und fast 200.000 Unternehmenskunden, das zu schützen, was ihnen am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Verwandter Artikel Pressemitteilungen