Tools / Neuigkeiten / APT-Backdoor PDFSIDER missbraucht PDF24, eines der meistgeladenen kostenlosen PDF-Tools der Welt
Presse

APT-Backdoor PDFSIDER missbraucht PDF24, eines der meistgeladenen kostenlosen PDF-Tools der Welt

· VaultTools

Resecurity entdeckte eine ausgefeilte Windows-Backdoor, die die legitime PDF24-Desktop-Applikation als Angriffsvektor per DLL-Side-Loading nutzt. Die Schadsoftware kompromittierte erfolgreich ein Fortune-100-Unternehmen und wurde seitdem von Ransomware-Gruppen wie Qilin übernommen.

VaultTools · 25. März 2026

Grüner Matrix-ähnlicher Code auf einem schwarzen Bildschirm, der Schadsoftware symbolisiert, die unsichtbar in einer vertrauenswürdigen Anwendung operiert. Foto von Markus Spiske auf Unsplash

Inhaltsverzeichnis


Was Geschah

Am 18. Januar 2026 veröffentlichte das Cybersicherheitsunternehmen Resecurity eine detaillierte Analyse von PDFSIDER, einer bislang undokumentierten Windows-Backdoor mit APT-Fähigkeiten. Die Schadsoftware nutzt PDF24 Creator, eines der weltweit populärsten kostenlosen Desktop-PDF-Tools mit zig Millionen Installationen, als Angriffsvektor.

Resecurity identifizierte PDFSIDER im Rahmen eines Incident-Response-Einsatzes bei einem Fortune-100-Unternehmen. Die Angreifer platzierten eine schädliche cryptbase.dll im selben Verzeichnis wie PDF24.exe. Beim Start der Anwendung löste Windows die DLL-Suche auf, bevor das legitime Systemverzeichnis erreicht wurde, und lud stattdessen die Bibliothek der Angreifer. Die echte PDF24-Applikation lief dabei normal weiter und zeigte keinerlei sichtbare Anzeichen einer Kompromittierung.

Wie der Angriff Funktioniert

DLL-Side-Loading nutzt die DLL-Suchreihenfolge von Windows aus. Wenn eine ausführbare Datei eine Bibliothek über ihren Namen lädt, durchsucht Windows zunächst das eigene Verzeichnis der Anwendung, bevor es die geschützten Systempfade prüft. Ein Angreifer, der eine Datei in denselben Ordner wie eine vertrauenswürdige ausführbare Datei schreiben kann, übernimmt damit deren Ausführung, ohne die eigentliche Programmdatei zu verändern.

Die schädliche cryptbase.dll von PDFSIDER richtet eine speicherresidente Backdoor mit diesen Eigenschaften ein:

  • AES-256-GCM-verschlüsselte Kommunikation mit einem entfernten Command-and-Control-Server
  • Anti-Virtuelle-Maschine-Prüfungen, die Sandbox-Analysen erschweren
  • Persistente Ausführung, die an den Start von PDF24.exe geknüpft ist

Da der Loader eine vertrauenswürdige Anwendung ist, die Millionen von Nutzern routinemäßig öffnen, erkennen Endpoint-Sicherheitstools, die auf Reputationsbewertung oder Anwendungs-Allowlists setzen, die Aktivität möglicherweise nicht.

Wer Dahintersteckt und Wer Betroffen Ist

Resecurity schrieb PDFSIDER einem hochentwickelten Bedrohungsakteur zu, dessen Techniken mit APT-Operationen übereinstimmen. Nach der ersten Offenlegung beim Fortune-100-Unternehmen übernahmen mehrere Ransomware-Gruppen, darunter Qilin, die Backdoor innerhalb von Tagen in ihre eigenen Angriffsketten. SecurityWeek bestätigte die Ausbreitung auf weitere Gruppen kurz nach der Erstveröffentlichung.

Die Applikation PDF24 selbst ist nicht kompromittiert. Der Angriff setzt voraus, dass ein Angreifer zunächst Schreibzugriff auf ein Verzeichnis erlangt, in dem PDF24 installiert ist, typischerweise durch einen vorherigen Einbruch oder einen gezielten Software-Supply-Chain-Schritt.

Warum Desktop-PDF-Tools Strukturell Dieses Risiko Tragen

Die PDFSIDER-Kampagne verdeutlicht ein Risiko, das für jede weit verbreitete, vertrauenswürdige ausführbare Datei gilt: Die Anwendung wird genau deshalb zum Angriffsvektor, weil Nutzer und Sicherheitstools ihr vertrauen.

Desktop-PDF-Tools sind aus diesem Grund attraktive Ziele. Sie sind in großen Nutzerpopulationen installiert, laufen mit Benutzerrechten, greifen auf sensible Dokumente zu und werden häufig geöffnet. Ein Angreifer, der eine schädliche DLL neben einem populären PDF-Tool platziert, erhält persistenten, unauffälligen Zugriff jedes Mal, wenn der Nutzer ein Dokument verarbeitet.

Browser-basierte PDF-Tools, die zu WebAssembly kompiliert wurden, haben keinen installierten Binär-Fußabdruck. Es gibt keine ausführbare Datei auf dem Datenträger, an die sich eine schädliche DLL anheften könnte, kein beschreibbares Anwendungsverzeichnis und keinen Prozess mit einem ausnutzbaren DLL-Suchpfad. Die Verarbeitung findet in der Sandbox des Browsers statt, und das einzige Ergebnis ist die fertige Datei im Arbeitsspeicher, die direkt auf das Gerät des Nutzers heruntergeladen wird.

Was Nutzer Jetzt Tun Sollten

Nutzer von PDF24 Creator und anderen Desktop-PDF-Tools sollten prüfen, ob sich unerwartete DLL-Dateien neben den Anwendungs-Executables befinden. Unter Windows verringern diese Maßnahmen die Angriffsfläche:

  • Aktuelle Antivirensignaturen halten; führende Anbieter haben PDFSIDER-Signaturen nach der Resecurity-Veröffentlichung hinzugefügt
  • Anwendungsinstallationsverzeichnisse nutzen, in die Standardnutzer nicht schreiben können
  • Windows Defender Credential Guard aktivieren, um den Missbrauch kryptografischer APIs einzuschränken

Für Organisationen, die PDF-Tools evaluieren, ist der PDFSIDER-Vorfall ein konkretes Argument für browser-basierte Alternativen, die die Angriffsfläche durch installierte Binärdateien vollständig beseitigen.


Quellen