{
	"id": "2b4368fe-b779-424f-b600-9931dc88077e",
	"created_at": "2026-04-06T00:17:50.491563Z",
	"updated_at": "2026-04-10T03:33:01.870871Z",
	"deleted_at": null,
	"sha1_hash": "65461414b734a43c8d2ae0da1357ff684c11f107",
	"title": "Weiterentwicklung anspruchsvoller Spyware: von Agent.BTZ zu ComRAT",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 160445,
	"plain_text": "Weiterentwicklung anspruchsvoller Spyware: von Agent.BTZ zu\r\nComRAT\r\nBy Paul Rascagnères\r\nPublished: 2025-02-12 · Archived: 2026-04-05 17:19:14 UTC\r\n15.01.2015\r\nLesezeit: 8 min (2223 Wörter)\r\nIm November 2014 veröffentlichten die Experten der G DATA SecurityLabs einen Artikel über ComRAT, den\r\nNachfolger von Agent.BTZ. Wie wir damals erläuterten, stand dieser Fall mit dem Uroburos-Rootkit in\r\nVerbindung. Wir gehen davon aus, dass der Entwickler, der hinter diesen Kampagnen steht, verschiedene\r\nMalware-Stämme nutzt, um die anzugreifende Infrastruktur zu kompromittieren: Uroburos, ein Rootkit;\r\nAgent.BTZ/ComRAT, Fernsteuerungstool oder Linux-Malware und vielleicht sogar noch mehr.\r\nWir entschlossen uns dazu, Agent.BTZ und ComRAT noch einmal genauer unter die Lupe zu nehmen. Deshalb\r\nhaben wir die Entwicklung dieses Fernsteuerungstools über sieben Jahre untersucht. Die folgende Tabelle enthält\r\nminimale Informationen über 46 verschiedene Samples:\r\nAus den Versionsbezeichnungen können wir ableiten, dass die ermittelten Kompilierungsdaten korrekt sind, mit\r\nAusnahme der letzten bekannten Version, bei der der Entwickler das Kompilierungsdatum modifiziert hat, um die\r\nAnalyse zu erschweren. Wir sehen, dass diese Malware in den Jahren 2007 und 2008 sehr aktiv war. Weniger neue\r\nVersionen wurden im Jahr 2009 veröffentlicht; lediglich ein neues Sample wurde im Jahr 2010 erfasst. Ab dem\r\nJahr 2011 fanden wir keine neuen Samples, aber die Malware tauchte im Jahr 2012 wieder mit einer neuen\r\nHauptversion auf.\r\nhttps://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nPage 1 of 8\n\nDie Entwicklung des Fernsteuerungstools in zehn Schritten\r\nUm die Weiterentwicklung der Software zu beschreiben, haben wir zehn Hauptversionen verglichen:\r\nVersion Ch 1.0 (2007-06) im Vergleich zu Ch 1.5 (2008-03)\r\nVersion Ch 1.5 (2008-03) im Vergleich zu Ch 2.03 (2008-05)\r\nVersion Ch 2.03 (2008-05) im Vergleich zu Ch 2.11 (2009-09)\r\nVersion Ch 2.11 (2009-09) im Vergleich zu Ch 2.14.1 (2010-02)\r\nVersion Ch 2.14.1 (2010-02) im Vergleich zu Ch 3.00 (2012-01)\r\nVersion Ch 3.00 (2012-01) im Vergleich zu Ch 3.10 (2012-12)\r\nVersion Ch 3.10 (2012-12) im Vergleich zu Ch 3.20 (2013-06)\r\nVersion Ch 3.20 (2013-06) im Vergleich zu Ch 3.25 (2014-02)\r\nVersion Ch 3.25 (2014-02) im Vergleich zu Ch 3.26 (2013-01; Datum wurde modifiziert)\r\nIm folgenden Kapitel werden die wesentlichen Unterschiede zwischen den oben genannten Versionen dargelegt.\r\nDie folgende Tabelle zeigt die Ähnlichkeit der einzelnen Versionen in Prozent; verglichen werden jeweils nur die\r\ndirekt aufeinanderfolgenden Versionen unter Verwendung von BinDiff:\r\nhttps://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nPage 2 of 8\n\nDie größten Code-Unterschiede sind zwischen Version 2.14.1 und Version 3.00 festzustellen. Dieser Sprung ergibt\r\nsich aus dem Fehlen von Samples in den dazwischenliegenden zwei Jahren; diese grundlegende Veränderung\r\nbezeichnen wir als das Ende von Agent.BTZ und den Beginn von ComRAT.\r\nUnterschiede zwischen den Versionen Ch 1.0 (2007-06) und Ch 1.5 (2008-03)\r\nDie analysierten Samples sind folgende:\r\nCh 1.0: b41fbdd02e4d54b4bc28eda99a8c1502  \r\nCh 1.5: bbf569176ec7ec611d8a000b50cdb754  \r\nÄhnlichkeit des Codes: 90 %\r\nWir haben keine grundlegenden Unterschiede zwischen den beiden Samples feststellen können. Jedoch können\r\nwir Folgendes festhalten:\r\nDie Konfigurationsdatei (XML) in Version 1.5 ist nicht mehr im ASCII-Format, sondern in Unicode\r\ngespeichert.\r\nBeide Versionen implementieren einen Mechanismus, um neue Datenträger zu infizieren, die am infizierten\r\nSystem angeschlossen werden. Weder die Implementierung noch das Protokoll der Datenträgerinfizierung\r\nsind identisch.\r\nVersion 1.5 erstellt das neue Event „wowmgr_is_load“. Dieses Event wurde dann jahrelang verwendet.\r\nUnterschiede zwischen den Versionen Ch 1.5 (2008-03) und Ch 2.03 (2008-05)\r\nDie analysierten Muster sind folgende:\r\nCh 1.5: bbf569176ec7ec611d8a000b50cdb754  \r\nCh 2.03: 78d3f074b70788897ae7e20e5137bf47  \r\nhttps://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nPage 3 of 8\n\nÄhnlichkeit des Codes: 83 %\r\nIn Version 2.03 von Agent.BTZ haben die Entwickler Folgendes geändert:\r\nSie führten eine Verschlüsselungstechnik ein, um kritische Zeichenketten zu verbergen.\r\nDem Kommunikationsprotokoll wurde das Flag „\u003cCHCMD\u003e“ hinzugefügt.\r\nWir gehen davon aus, dass „CH“ dieselbe Bedeutung wie „Ch“ vor der Versionsnummer hat und „CMD“ eine\r\nAbkürzung für Command (Befehl) ist.\r\nVon nun an unterstützt die Malware „Runas“, um Befehle als Administrator auszuführen. Dieser Befehl\r\nwurde im Jahr 2007 von Microsoft in Windows Vista implementiert. Wir gehen davon aus, dass der\r\nEntwickler diese Funktion implementiert hat, weil mehrere Zielcomputer im Jahr 2008 auf diese Windows-Version umstiegen.\r\nLaut einem Bericht wurde Version 1.5 für einen Angriff gegen das US-Verteidigungsministerium (Pentagon)\r\neingesetzt. Wir gehen davon aus, dass die Zeichenfolgenverschlüsselung durchgeführt wurde, um\r\nSicherheitsmaßnahmen zu umgehen, die Angriffe erkennen sollen.\r\nUnterschiede zwischen den Versionen Ch 2.03 (2008-05) und Ch 2.11 (2009-09)\r\nDie analysierten Muster sind folgende:\r\nCh 2.03: 78d3f074b70788897ae7e20e5137bf47  \r\nCh 2.11: 162f415abad9708aa61db8e03bcf2f3c  \r\nÄhnlichkeit des Codes: 96 %\r\nDer Programmcode dieser beiden Versionen weist kaum Unterschiede auf. Wir konnten nur sehr geringe\r\nUnterschiede feststellen:\r\nDer Entwickler hat die Bezeichnung mehrerer Registry-Schlüssel geändert (vermutlich, um die Erkennung\r\ndurch bekannte IOCs zu vermeiden).\r\nAuch die Bezeichnungen zweier exportierter Funktionen wurden geändert: Aus InstallM() wurde\r\nAddAtomT() und aus InstallS() wurde AddAtomS(), wahrscheinlich aus denselben, bereits oben\r\ndargelegten Gründen.\r\nUnterschiede zwischen den Versionen Ch 2.11 (2009-09) und Ch 2.14.1 (2010-02)\r\nDie analysierten Muster sind folgende:\r\nCh 2.11: 162f415abad9708aa61db8e03bcf2f3c  \r\nCh 2.14.1: 5121ce1f96d74076df1c39748e019f42  \r\nÄhnlichkeit des Codes: 98 %\r\nAuch bei diesen Versionen ist der Code sehr ähnlich. Wir konnten nur zwei Unterschiede feststellen:\r\nDer Entwickler hat einige Fehler gepatcht.\r\nhttps://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nPage 4 of 8\n\nEs sind vier neue Exporte vorhanden: DllCanUnLoadNow(), DllGetClassObject(), DllRegisterServer(),\r\nDllUnregisterServer().\r\nDie vier exportierten Bibliotheken zeigen, dass die Malware erstmalig das OLE Component Object Model (COM)\r\nunterstützt. Diese Version ist die erste Version, die in der Lage ist, als COM-Objekt registriert zu werden. Drei der\r\nvier Funktionen haben keinen Inhalt. Die vierte Funktion führt die Malware aus.\r\nUnterschiede zwischen den Versionen 2.14.1 (2010-02) und Ch 3.00 (2012-01)\r\nDie analysierten Muster sind folgende:\r\nCh 2.14.1: 5121ce1f96d74076df1c39748e019f42  \r\nCh 3.00: 28dc1ca683d6a14d0d1794a68c477604  \r\nÄhnlichkeit des Codes: 60 %\r\nDer Code dieser Versionen weist große Unterschiede auf, wenngleich einige Teile von Version 2.14.1 beibehalten\r\nwurden. Außerdem haben die Entwickler einen anderen Compiler benutzt; sie sind von Visual Studio 6.0 auf\r\nVisual Studio 9.0/10.0 umgestiegen, was ein bedeutender Indikator für die großen Unterschiede ist.\r\nVersion 3.00 ist die Version, die die Experten der G DATA SecurityLabs als „ComRAT“ bezeichnen. Damit ist\r\nVersion 2.14.1 die letzte Version von Agent.BTZ. Hier die wichtigsten Unterschiede zwischen Agent.BTZ und\r\nComRAT:\r\nDie neue Malware sammelt mehr Informationen über das infizierte System (beispielsweise\r\nLaufwerksinformationen, Volume-Informationen usw.)\r\nDer Mechanismus zum Infizieren von Datenträger-Sticks wurde endgültig entfernt. Der Grund hierfür ist\r\nvermutlich, dass Microsoft die automatische Ausführung bei externen Datenträgern deaktiviert hat. Für die\r\nAngreifer ist dieser Infektionsvektor nicht mehr interessant.\r\nDie Malware wird in jeden Prozess des infizierten Computers injiziert; die primäre Payload wird in\r\n„explorer.exe“ ausgeführt, wie wir in unserem Bericht \"Die Akte Uroburos: neues, ausgeklügeltes RAT\r\nidentifiziert\" erläutert haben.\r\nDer Kommunikationskanal zum Command \u0026 Control Server ist nicht mehr derselbe. In der neuen Version\r\nnutzt die Malware POST-Anfragen nach folgendem Muster:\r\nhttps://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nPage 5 of 8\n\nDa die Malware in jeden Prozess des infizierten Systems injiziert wird, erstellt sie eine sogenannte „Named\r\nPipe“ für die prozessübergreifende Kommunikation.\r\nBei mehreren Samples von Version 3.00 vergaß der Entwickler, den Kompilierungspfad zu entfernen. Hier einige\r\nBeispiele:\r\nc:\\projects\\ChinckSkx64\\Debug\\Chinch.pdb\r\nc:\\projects\\ChinckSkx64\\Release\\libadcodec.pdb\r\nC:\\projects\\ChinckSkx64\\x64\\Release\\libadcodec.pdb\r\nE:\\old_comp\\_Chinch\\Chinch\\trunk\\Debug\\Chinch.pdb\r\nc:\\projects\\ChinchSk\\Release\\libadcodec.pdb\r\nAufgrund dieser Kompilierungspfade gehen wir davon aus, dass der ursprüngliche Name des Fernsteuerungstools\r\n„Chinch“ ist. Dies führt uns zu der Annahme, dass die Zeichenfolge „CH“ in der Versionsbezeichnung und im\r\nFlag „\u003cCHCMD\u003e“ für „Chinch“ steht. Das englische Wort „Chinch“ bezeichnet das kleine nordamerikanische\r\nInsekt mit der wissenschaftlichen Bezeichnung Blissus leucopterus. Dieses Wort leitet sich vom spanischen Wort\r\n„chinche“ ab, das Wanze bedeutet.\r\nUnterschiede zwischen den Versionen Ch 3.00 (2012-01) und Ch 3.10 (2012-12)\r\nDie analysierten Muster sind folgende:\r\nCh 3.00: 28dc1ca683d6a14d0d1794a68c477604  \r\nCh 3.10: b86137fa5a232c614ec5405be4d13b37  \r\nÄhnlichkeit des Codes: 90 %\r\nDer Code ist bei diesen Versionen ähnlich, doch die Entwickler haben einige neue Funktionen integriert:\r\nDie Malware generiert mehr Protokolle.\r\nDie Malware verfügt über einen Mutex-Handle.\r\nVersion 3.10 unterstützt mehrere Command \u0026 Control Server.\r\nDiese letztgenannte neue Funktion ist sehr interessant: Wenn die kompromittierten Zielcomputer einen\r\nbestimmten C\u0026C-Server blockieren, funktioniert die Malware dennoch weiterhin über zwei alternative Command\r\n\u0026 Control Server.\r\nUnterschiede zwischen den Versionen Ch 3.10 (2012-12) und Ch 3.20 (2013-06)\r\nDie analysierten Samples sind folgende:\r\nCh 3.10: b86137fa5a232c614ec5405be4d13b37  \r\nCh 3.20: 7872c1d88fe21d8a85f160a6666c76e8  \r\nÄhnlichkeit des Codes: 93 %\r\nDie wichtigste neue Funktion dieser Version ist die neue Exportfunktion InstallW(). Diese Exportfunktion wird\r\nvom Dropper dazu verwendet, dauerhafte Registry-Einträge zu erstellen und – wie in unserem letzten Artikel\r\nhttps://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nPage 6 of 8\n\nbeschrieben – eine zweite Datei abzusetzen. Version 3.20 verwendet die folgende CLSID, um ein COM-Objekt zu\r\nmanipulieren: B196B286-BAB4-101A-B69C-00AA00341D07. Dieses Objekt ist die Schnittstelle\r\nIConnectionPoint. Die CLSID wurde nur in dieser Version verwendet.\r\nWir gehen davon aus, dass die durchgeführte Manipulation des COM-Objekts einige Probleme auf dem infizierten\r\nSystem erzeugt. Deshalb hat der Entwickler damit im Zusammenhang stehende Aspekte in der nächsten Version\r\ngeändert. Darüber hinaus wurde die CLSID im Sample in Klartext gespeichert.\r\nUnterschiede zwischen den Versionen Ch 3.20 (2013-06) und Ch 3.25 (2014-02)\r\nDie analysierten Samples sind folgende:\r\nCh 3.20: 7872c1d88fe21d8a85f160a6666c76e8  \r\nCh 3.25: ec7e3cfaeaac0401316d66e964be684e  \r\nÄhnlichkeit des Codes: 91 %\r\nIn Version 3.25 ist der Entwickler auf folgende CLSID umgestiegen: 42aedc87-2188-41fd-b9a3-0c966feabec1.\r\nDies wird in unserem Bericht \"Die Akte Uroburos: neues, ausgeklügeltes RAT identifiziert\" beschrieben. Zudem\r\nsind die Zeichenketten im Muster verschlüsselt. Die wichtigste Neuerung ist die Verschlüsselung – fast alle\r\nZeichenketten sind verschlüsselt, und das XML-Muster ist nicht mehr in Klartext geschrieben.\r\nUnterschiede zwischen den Versionen 3.25 Ch (2014-02) und Ch 3.26 (2013-01;\r\nDatum wurde modifiziert)\r\nDie analysierten Samples sind folgende:\r\nCh 3.25: ec7e3cfaeaac0401316d66e964be684e  \r\nCh 3.26: b407b6e5b4046da226d6e189a67f62ca  \r\nÄhnlichkeit des Codes: 95 %\r\nVersion 3.26 ist die jüngste bekannte Version. In dieser Version haben die Entwickler folgende Änderungen\r\nvorgenommen:\r\nDer bekannte, in Agent.BTZ und Uroburos genutzte, XOR-Schlüssel wurde entfernt. Wir gehen davon aus,\r\ndass sich der Entwickler aufgrund der G DATA-Veröffentlichung im Februar 2014 dazu entschlossen hat,\r\nmöglichst viele Zusammenhänge zwischen Uroburos und Agent.BTZ/ComRAT/Chinch zu entfernen.\r\nDie Entwickler generieren keine Protokolle mehr.\r\nDas Kompilierungsdatum wurde geändert, um die Analyse und die Erstellung einer Zeitleiste zu\r\nerschweren.\r\nFazit\r\nDiese Analyse zeigt uns die Entwicklung eines Fernsteuerungstools über sieben Jahre. Es wird von einer Gruppe\r\ngenutzt, die Angriffe gegen sensible Organisationen wie etwa im Jahr 2008 gegen das US-https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nPage 7 of 8\n\nVerteidigungsministerium (Pentagon) oder im Jahr 2014 gegen das belgische Außenministerium sowie gegen das\r\nfinnische Außenministerium richtete.\r\nBis auf die Änderungen in Version 3.00 sind die vorgenommenen Änderungen eher marginal. Wir erkennen, dass\r\ndie Entwickler Funktionen an die Windows-Versionen angepasst, Fehler gepatcht, Verschlüsselungstechniken\r\nintegriert haben usw. Das größte Update auf Version 3.00 wurde nach zwei Jahren des Schweigens durchgeführt.\r\nOffenbar wurde dieses Fernsteuerungstool parallel zum Uroburos-Rootkit eingesetzt. Dennoch ist nicht völlig\r\nklar, wie und wann die Angreifer sich dazu entschieden haben, das Fernsteuerungstool oder das Rootkit\r\neinzusetzen oder ob beide Tools parallel genutzt werden.\r\nUnter Berücksichtigung aller Aspekte sind die Experten der G DATA SecurityLabs davon überzeugt, dass die\r\nGruppe, die hinter Uroburos/Agent.BTZ/ComRAT bzw. dem Linux-Tool steckt, auch weiterhin eine aktive Rolle\r\nim Bereich Malware und APT spielen wird. Aufgrund der neuesten Analyseergebnisse und der daraus gezogenen\r\nSchlussfolgerungen kommen wir zu der Ansicht, dass noch weitere Bedrohungen folgen werden.\r\nFolgende Artikel könnten Sie auch interessieren:\r\nArtikel teilen\r\n Wichtige IT-Security-News per E-Mail\r\nAktuelle IT-Gefahren\r\nSchutz-Tipps für Privatkunden\r\n15 % Willkommensgutschein\r\nSource: https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nhttps://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat"
	],
	"report_names": [
		"23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat"
	],
	"threat_actors": [
		{
			"id": "a97fee0d-af4b-4661-ae17-858925438fc4",
			"created_at": "2023-01-06T13:46:38.396415Z",
			"updated_at": "2026-04-10T02:00:02.957137Z",
			"deleted_at": null,
			"main_name": "Turla",
			"aliases": [
				"TAG_0530",
				"Pacifier APT",
				"Blue Python",
				"UNC4210",
				"UAC-0003",
				"VENOMOUS Bear",
				"Waterbug",
				"Pfinet",
				"KRYPTON",
				"Popeye",
				"SIG23",
				"ATK13",
				"ITG12",
				"Group 88",
				"Uroburos",
				"Hippo Team",
				"IRON HUNTER",
				"MAKERSMARK",
				"Secret Blizzard",
				"UAC-0144",
				"UAC-0024",
				"G0010"
			],
			"source_name": "MISPGALAXY:Turla",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434670,
	"ts_updated_at": 1775791981,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/65461414b734a43c8d2ae0da1357ff684c11f107.pdf",
		"text": "https://archive.orkl.eu/65461414b734a43c8d2ae0da1357ff684c11f107.txt",
		"img": "https://archive.orkl.eu/65461414b734a43c8d2ae0da1357ff684c11f107.jpg"
	}
}