Pulsar RAT: Neuer Super-Schädling bedroht Windows-Systeme

Cybersecurity-Experten warnen vor einem hoch entwickelten Windows-Schädling, der sich nahezu unsichtbar macht. Der Pulsar RAT kombiniert Datendiebstahl mit ausgeklügelter Tarnung und stellt eine massive Gefahr für Unternehmen dar.

Veröffentlicht am Montag, 19. Januar 2026.

Ein unsichtbarer Eindringling mit gefährlichem Werkzeugkasten

Der als Pulsar RAT bekannte Schädling ist ein modularer Remote-Access-Trojaner und eine Weiterentwicklung der bekannten Open-Source-Software Quasar RAT. Seine Stärke liegt in fortgeschrittenen Techniken, um eine dauerhafte und heimliche Kontrolle über infizierte Rechner zu erlangen. Aktuelle Analysen zeigen: Die Malware nutzt fileless Execution, bei der Schadcode direkt im Arbeitsspeicher läuft, ohne Spuren auf der Festplatte zu hinterlassen. Herkömmliche Virenscanner, die Dateien prüfen, werden so umgangen.

Zudem verfügt Pulsar RAT über raffinierte Anti-Analyse-Checks. Er erkennt, ob er in einer virtuellen Maschine oder einer Sandbox läuft – etwa durch die Suche nach typischen Kennzeichen wie der Festplattenbezeichnung „QEMU HARDDISK“. Wird eine solche Testumgebung entdeckt, bricht der Schädling seine Ausführung ab, um die Untersuchung zu vereiteln.

Moderne Remote‑Access‑Trojaner wie Pulsar können sich praktisch unsichtbar in Firmennetzwerken einnisten und verursachen im Falle eines Befalls schnell hohe Aufwände (Experten sprechen von 200–500 Personenstunden bei der Bereinigung). Prävention ist entscheidend: Ein kostenloses E‑Book erklärt praxisnah, welche Maßnahmen IT‑Teams sofort prüfen sollten — von Endpoint Detection & Response über Supply‑Chain‑Kontrollen bis zu Awareness‑Checks für Mitarbeiter. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Totaler Zugriff und heimliche Überwachung

Ist die Malware erst einmal installiert, erhalten Angreifer einen mächtigen Werkzeugkasten für die totale Systemübernahme. Ein Kernfeature ist die Hidden Virtual Network Computing (HVNC)-Funktion. Sie erlaubt es, eine unsichtbare Desktop-Sitzung zu eröffnen und zu steuern. Die Aktivitäten des Angreifers bleiben für den legitimen Nutzer komplett verborgen – mehr als nur Fernzugriff, es ist eine heimliche Interaktion.

Die Datendiebstahl-Fähigkeiten sind umfassend. Ein integriertes Modul namens Kematian Grabber erbeutet Zugangsdaten. Der Trojaner kann Tastatureingaben aufzeichnen, Webcams und Mikrofone zur Überwachung aktivieren und Daten direkt aus Browsern stehlen. Besonders tückisch: Ein Cryptocurrency Wallet Clipper überwacht die Zwischenablage. Wird eine Krypto-Wallet-Adresse kopiert, ersetzt er sie automatisch durch eine Adresse des Angreifers. Neben Spionage enthält Pulsar RAT auch disruptive „FunStuff“-Module, die einen Bluescreen auslösen oder die Taskleiste ausblenden können.

Angriffsweg: Infizierte Software-Bibliotheken

Ein Hauptverbreitungsweg sind Supply-Chain-Angriffe auf Software-Entwickler. Dabei wird das Vertrauen in Open-Source-Code-Repositories ausgenutzt. Eine bemerkenswerte Kampagne im Jahr 2025 verteilte den Schädling über bösartige Pakete im npm-Repository, unter anderem mit dem Namen „solders“. Die Verschleierung war extrem: Mehr als sieben Schichten tarnten die finale Nutzlast.

Angreifer versteckten bösartigen Code in scheinbar zufälligen japanischen Zeichen und nutzten Steganografie, um eine schädliche DLL-Datei in den Pixeln eines PNG-Bildes zu verbergen. Dieser Ansatz zielte darauf ab, sowohl automatisierte als auch manuelle Analysen zu vereiteln. Dieser Vektor zeigt den Fokus auf Entwickler und technisch versierte Nutzer. Doch aufgrund seiner Vielseitigkeit ist Pulsar RAT eine Bedrohung für jeden Windows-Nutzer, der kompromittierte Software herunterlädt oder auf Phishing hereinfällt.

Hohe Kosten und komplexe Abwehr

Die Geschäftsauswirkungen einer Infektion sind gravierend: Sie reichen vom Verlust geistigen Eigentums über massive operative Störungen bis zu regulatorischen Strafen. Experten schätzen, dass die Bereinigung nach einem Befall 200 bis 500 Personenstunden in Anspruch nehmen kann – ein enormer Kostenfaktor für betroffene Organisationen.

Die Abwehr erfordert eine mehrschichtige Strategie. Unternehmen sollten Advanced Endpoint Detection and Response (EDR)-Lösungen einsetzen, die das Speicherverhalten überwachen und Anomalien erkennen können. Weitere Maßnahmen sind Application Whitelisting, die Einschränkung von Autostart-Funktionen und Netzwerksegmentierung. Proaktive Jagd nach Bedrohungen mit Hilfe von Indikatoren für Kompromittierung (IOCs) sowie regelmäßige Sicherheitsschulungen für Mitarbeiter bleiben entscheidend, um die erste Schwachstelle – den Menschen – zu schützen.

PS: Sie möchten Ihr Unternehmen kurzfristig besser schützen? Der Gratis‑Leitfaden liefert eine kompakte Checkliste für Incident Response, Anti‑Phishing‑Maßnahmen und einfache EDR‑Kontrollen — ideal für Geschäftsführer und IT‑Verantwortliche, die ohne großen Aufwand gängige Angriffsvektoren schließen wollen. Holen Sie sich die praxisorientierten Anleitungen und Vorlagen kostenlos. Kostenlosen Cyber‑Defense‑Plan anfordern