SHEETCREEP: Hacker nutzen Google Sheets zur Malware-Kontrolle
12.06.2026 - 13:15:09 | boerse-global.de
Die Angreifer nutzen Google Sheets als Kommandozentrale für ihre Malware.
Die als SHEETCREEP bezeichnete Operation zielt auf diplomatische Einrichtungen ab. Der Schadcode tarnt sich als harmlose Datei – und kommuniziert dann über die Google-Sheets-API mit den Hackern.
Banking, E-Mails, Fotos – auf keinem Gerät speichern wir so viele sensible Daten wie auf dem PC, und doch lauern unsichtbare Spionage-Programme oft unbemerkt im System. Dieser kostenlose Experten-Report zeigt Ihnen, wie Sie Spionage-Software entlarven und Ihr System wirksam absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Infektion über diplomatischen Köder
Die Angreifer verbreiten eine präparierte ISO-Datei. Sie gibt vor, Informationen zu einer strategischen Partnerschaft zwischen den Vereinigten Arabischen Emiraten und Indien zu enthalten.
Öffnet das Opfer die Datei, startet eine LNK-Verknüpfung einen C#-Dropper. Dieser installiert den Remote Access Trojaner (RAT) vaultsvc.exe im lokalen App-Datenverzeichnis.
Für dauerhafte Präsenz legt die Malware eine geplante Aufgabe namens „WindowsVaultSyncService“ an. Die Konfiguration verschlüsseln die Hacker per XOR-Verfahren.
Google Sheets als Steuerungszentrale
Das Besondere an SHEETCREEP: Der Trojaner nutzt die Google Sheets API v4 zur Kommunikation. Er authentifiziert sich über ein eingebettetes Dienstkonto der Google Cloud Platform – geschützt durch einen RSA-2048-Schlüssel.
Die Steuerung läuft direkt über die Zellen der Tabelle: In der ersten Spalte hinterlegen die Angreifer ihre Befehle, die zweite Spalte nimmt gestohlene Daten auf. Bisher identifizierten Experten 91 aktive Opfer-Identitäten in den kontrollierten Dokumenten. Ein Ziel lag in der pakistanischen Hauptstadt Islamabad.
Da Cyberkriminelle immer raffiniertere Wege nutzen, um Sicherheitsfilter zu umgehen, wird der proaktive Schutz des eigenen Netzwerks für Unternehmen überlebenswichtig. Das kostenlose Anti-Phishing-Paket bietet eine fundierte Analyse aktueller Angriffsmethoden und zeigt Ihnen in 4 Schritten, wie Sie die Hacker-Abwehr stärken. Anti-Phishing-Paket für Unternehmen gratis anfordern
Wer steckt dahinter?
Sicherheitsanalysten ordnen die Kampagne mit mittlerer Zuversicht der Gruppe APT36 zu. In Branchenkreisen ist sie auch als Transparent Tribe bekannt.
Die Entdeckung fällt in eine Phase verstärkter Aktivitäten gegen Cloud-Infrastrukturen. In den letzten Wochen wurden vermehrt Angriffe auf Cloud-Logging-Dienste und Entwickler-Plattformen bekannt. Auch Supply-Chain-Angriffe auf GitHub und Phishing-Kampagnen gegen Softwareentwickler nehmen zu. Experten sehen einen klaren Trend: Hacker missbrauchen zunehmend legitime Dienste wie Google AppSheet oder KI-Plattformen, um Sicherheitsfilter zu umgehen.
