Microsoft hat neue Forschungsergebnisse zu „GigaWiper“ veröffentlicht, einer modularen Golang-Backdoor für Windows einen zuverlässigen Fernzugriff mit verschiedenen Möglichkeiten zur dauerhaften Zerstörung von Systemen und Daten kombiniert.
GigaWiper ist eine Windows , die Microsoft seit Oktober 2025 bei Angriffen beobachtet hat. Es handelt sich dabei nicht um einen reinen Datenlöscher, sondern um eine operative Plattform, die Command-and-Control-Funktionen (C2), Datenvernichtung und Fernzugriffsmöglichkeiten in einer einzigen Malware-Komponente vereint.
Bemerkenswert ist, dass GigaWiper offenbar aus zuvor separaten Tools wie der Ransomware „Crucio“ und dem Festplattenlöscher „FlockWiper“ zusammengesetzt ist, die in ein einheitliches Framework integriert wurden.
Aufgrund der Eigenschaften der Malware, zu denen Spionagefunktionen (Bildschirmaufnahmen, VNC-ähnliche Fernsteuerung, Systeminventarisierung) sowie verschiedene Möglichkeiten zur unwiderruflichen Vernichtung von Daten gehören, entspricht sie dem Verhaltensmuster eines Angreifers, der sich langfristigen Zugriff sichern will, sich aber gleichzeitig die Option offenhält, Systeme nach Belieben zu löschen.
GigaWiper verfügt über etwa 20 Befehle, die sich grob in drei Kategorien einteilen lassen: Zerstörung, Fernzugriff/Überwachung und Systemverwaltung. Dazu gehören unter anderem:
- Ein Programm zum Löschen von Rohdatenträgern, das den Inhalt des Rohdatenträgers in großen Blöcken überschreibt, bevor es einen sofortigen Neustart erzwingt.
- Ein gefälschter Ransomware-Wiper (auf Crucio basierend), der sich als Ransomware tarnt. Anstatt Lösegeld zu fordern, verschlüsselt er Dateien und vernichtet anschließend den Verschlüsselungsschlüssel, wodurch eine Wiederherstellung unmöglich wird.
- Ein Programm zum sicheren Löschen vonWindows , das auf das Windows abzielt und dieses in mehreren Durchgängen mit unterschiedlichen Byte-Mustern überschreibt.
- Bildschirmaufnahmen und -aufzeichnungen, einschließlich einmaliger Screenshots jedes Monitors und fortlaufender Aufzeichnungen, solange der Benutzer aktiv ist.
- Fernsteuerung über einen TCP-Server (Transmission Control Protocol), der den Desktop streamt und Tastatur- sowie Mauseingaben ermöglicht, nachdem er eigene Ausnahmen in Windows eingerichtet hat.
GigaWiper richtet außerdem eine geplante Aufgabe namens „OneDrive Update“ ein, die jede Minute und beim Systemstart ausgeführt wird, um die Persistenz aufrechtzuerhalten.
Command-and-Control-Server wurden an folgenden Orten gefunden: 185.182.193[.]21 und 212.8.248[.]104.

Zu den Verwaltungswerkzeugen gehören Prozess-, Dienst- und Registrierungsmanager, mit denen Prozesse erstellt, aufgelistet oder beendet, Windows verwaltet sowie Registrierungsschlüssel durchsucht und geändert werden können. Außerdem werden Systeminformationen erfasst, darunter Angaben zu Hardware, Betriebssystem, Netzwerk, Firmware, Benutzern und Antivirenprogrammen.
Wie man sicher bleibt
Da GigaWiper erst dann zum Einsatz kommt, wenn Angreifer ein System bereits kompromittiert haben, besteht die beste Abwehr darin, das anfängliche Eindringen zu verhindern und böswillige Aktivitäten zu erkennen, bevor zerstörerische Befehle ausgeführt werden können.
Malwarebytes GigaWiper-Komponenten unter den Erkennungsnamen „Trojan.FlockWiper “ und „Backdoor.GigaWiper“.
- Sollte GigaWiper entdeckt werden, trennen Sie den betroffenen Rechner unverzüglich vom Netzwerk, um zu verhindern, dass Angreifer zerstörerische Befehle ausführen.
- Aktivieren Sie den Manipulationsschutz (oder die entsprechende Funktion in Ihrer Sicherheitssoftware), damit lokale Administratoren und Malware Anti-Malware- oder andere Sicherheitstools nicht unbemerkt deaktivieren können.
- Überwachen Sie Verbindungen zu den bekannten C2-Servern, die Erstellung der geplanten Aufgabe „OneDrive Update“ sowie unbefugte Versuche, Windows zu deaktivieren.
- Wechseln Sie abschließend die Anmeldedaten, insbesondere für Konten, die möglicherweise kompromittiert wurden, und überprüfen Sie die Protokolle auf Berechtigungserweiterungen oder laterale Bewegungen, um festzustellen, ob auch andere Systeme betroffen sind.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.




