OpenClaw

KI-Agenten als Einfallstor: Angreifer kapern OpenClaw und schleusen Remcos RAT in Entwicklerumgebungen ein

, Zscaler | Autor: Herbert Wieler

KI-Agenten als Einfallstor: Angreifer kapern OpenClaw und schleusen Remcos RAT in Entwicklerumgebungen ein

Neue Cyberangriffe auf KI-Workflows – KI-Agenten werden zur neuen Angriffsfläche

Autonome KI-Agenten entwickeln sich rasant zum Standard in modernen Entwickler- und Unternehmensumgebungen – genau das nutzen Cyberkriminelle jetzt gezielt aus. Security-Forscher von Zscaler ThreatLabz haben eine neue Angriffskampagne entdeckt, bei der manipulierte OpenClaw-Workflows Schadsoftware auf Windows-, macOS- und Linux-Systeme einschleusen.

Besonders brisant: Die Malware wird über scheinbar legitime KI-Erweiterungen verteilt und kann klassische Sicherheitsmechanismen weitgehend umgehen.

Cyberkriminelle missbrauchen zunehmend KI-Frameworks als neue Eintrittspunkte in Unternehmensnetzwerke. Im aktuellen Fall steht das Open-Source-Framework OpenClaw im Fokus, das ursprünglich zur Automatisierung komplexer KI-Agenten-Workflows entwickelt wurde. Laut den Analysten von Zscaler wird die Plattform nun als Angriffsvektor genutzt, um Malware unbemerkt in Entwicklerumgebungen einzuschleusen.

Angriffskette, die veranschaulicht, wie eine bösartige OpenClaw-Funktion zu verschiedenen Ausführungswegen für Malware führt Beispiel für eine Angriffskette, die veranschaulicht, wie eine bösartige OpenClaw-Funktion zu verschiedenen Ausführungswegen für Malware führt (Quelle Zscaler, Inc. 2026)

Manipulierter „DeepSeek-Claw“-Skill startet Malware-Kette

Im Zentrum der Kampagne steht ein präparierter OpenClaw-Skill mit dem Namen „DeepSeek-Claw“. Entwickler laden diesen in der Annahme herunter, es handle sich um eine legitime Erweiterung zur Integration von DeepSeek-Funktionen. Tatsächlich enthält die beigefügte Instruktionsdatei jedoch versteckte Befehle, die automatisiert Schadcode ausführen können. Besonders gefährlich ist dabei die Kombination aus Social Engineering und automatisierter Workflow-Ausführung. Die eingebetteten Befehle können entweder manuell gestartet oder direkt vom KI-Agenten selbst verarbeitet und ausgeführt werden. Dadurch entfällt die sonst übliche Nutzerinteraktion, was die Kompromittierung erheblich beschleunigt.

Remcos RAT tarnt sich über legitime Software

Auf Windows-Systemen führt die Angriffskette zur Installation des bekannten Remote Access Trojaners (RAT) Remcos. Dafür wird zunächst ein manipuliertes MSI-Installationspaket heruntergeladen, das eine signierte GoToMeeting-Datei sowie eine schädliche DLL auf dem Zielsystem ablegt. Die Angreifer nutzen anschließend DLL-Sideloading, um die Malware über den legitimen Prozess zu starten.

Die Schadsoftware setzt zudem auf moderne Tarntechniken: Sicherheitsfunktionen wie AMSI und ETW werden direkt im Arbeitsspeicher manipuliert, um Telemetrie und Malware-Scans zu umgehen. Ergänzt wird dies durch Anti-Debugging-Mechanismen und Sandbox-Erkennung, wodurch die Malware klassische Endpoint-Security-Lösungen gezielt aushebelt.

GhostLoader attackiert macOS- und Linux-Umgebungen

Während Windows-Systeme primär mit Remcos RAT kompromittiert werden, zielt der zweite Infektionspfad auf macOS- und Linux-Rechner. Hier kommt die plattformübergreifende Stealer-Malware GhostLoader – auch bekannt als GhostClaw – zum Einsatz. Die Malware wird über verschleierte Node.js- und npm-Skripte verteilt, die tief in Entwickler-Workflows eingebettet sind.

Besonders perfide: Die Schadsoftware nutzt gefälschte Passwortabfragen in der Kommandozeile, um Administratorrechte zu erhalten. Nach erfolgreicher Ausführung extrahiert GhostLoader sensible Daten wie SSH-Keys, API-Tokens, Kryptowallets und Inhalte des macOS-Keyrings und überträgt diese verschlüsselt an die Infrastruktur der Angreifer.

KI-Workflows werden zum Sicherheitsrisiko

Die aktuelle Kampagne zeigt deutlich, dass KI-Agenten und automatisierte Workflows zunehmend in den Fokus moderner Cyberangriffe rücken. Mit der wachsenden Verbreitung autonomer KI-Systeme entstehen neue Angriffsflächen, die klassische Sicherheitskonzepte oft nicht ausreichend berücksichtigen.

Sicherheitsexperten empfehlen daher strengere Prüfprozesse für Drittanbieter-Plugins, kontinuierliches Monitoring von KI-Workflows sowie eine umfassende Verhaltensanalyse externer Skripte und Skills. Unternehmen sollten insbesondere Entwicklerumgebungen stärker absichern, da diese immer häufiger zum primären Angriffsziel werden.