Pickai: Die Hintertür im KI-Stack

Am 17. März 2025 schlugen erstmals die Alarmsysteme an: Das „Cyber Threat Insight and Analysis System“ (CTIA) des Sicherheitsunternehmens XLab registrierte verdächtige Aktivitäten, die auf eine spezifische IP-Adresse zurückzuführen waren – 185.189.149.151. Die Spur führte tief in die Infrastruktur eines KI-Stacks, genauer gesagt zu einer möglichen Hintertür, die unbefugten Zugriff erlauben könnte.

Hintergrund

Am 27. Mai 2025 gab das chinesische National Cybersecurity Notification Center eine Warnung heraus, dass ComfyUI mehrere hochriskante Schwachstellen aufweist, die bereits von Hackergruppen ausgenutzt werden. In der Warnung wurden Unternehmen aufgefordert, unverzüglich Abwehrmaßnahmen zu ergreifen, um sich vor potenziellen Netzwerkangriffen und Datenverletzungen zu schützen.

Mit dem rasanten Aufstieg privat eingesetzter KI-Modelle in allen Branchen ist ComfyUI – mittlerweile ein beliebtes Framework zur Bilderzeugung für große KI-Modelle – unweigerlich zu einem bevorzugten Ziel für Cyberangriffe geworden. In diesem Artikel teilt XLab wichtige Erkenntnisse aus seiner Überwachung der Bedrohungslandschaft und liefert eine technische Analyse der beobachteten Angriffskampagnen.

Rückblick auf den 17. März 2025: Das Cyber Threat Insight and Analysis System (CTIA) von XLab meldete verdächtiges Verhalten von der IP-Adresse 185.189.149.151, die Schwachstellen in ComfyUI ausnutzte, um mehrere ELF-Ausführungsdateien zu verbreiten, die als Konfigurationsdateien getarnt waren (z. B. config.json, tmux.conf, vim.json). Bei einer eingehenderen Analyse konnten wir bestätigen, dass es sich bei diesen Dateien um Varianten derselben Backdoor handelte. Aufgrund ihrer Kernfunktion – dem Diebstahl sensibler KI-bezogener Daten – haben wir sie Pickai genannt, in Anlehnung an das Wort „pickpocket” (Taschendieb).

Pickai ist eine leichtgewichtige Backdoor, die in C++ geschrieben wurde und die Ausführung von Remote-Befehlen sowie den Zugriff auf Reverse Shells unterstützt. Trotz ihrer geringen Größe hat sie es in sich:

• Hostseitige Tarnung: Umfasst Anti-Debugging, Prozessnamens-Spoofing und mehrere Persistenzmechanismen.
• Netzwerkrobustheit: Obwohl keine Verschlüsselung verwendet wird, durchläuft sie mehrere fest codierte C2-Server, überprüft regelmäßig deren Verfügbarkeit und wechselt automatisch, um einen stabilen Befehlskanal zu gewährleisten.

Während der Rückentwicklung wurde festgestellt, dass eine ihrer C2-Domains, h67t48ehfth8e.com, nicht registriert war. Wir haben sie schnell beansprucht und konnten Telemetriedaten von infizierten Systemen erfassen. Die Ergebnisse waren alarmierend: Mindestens 695 Server weltweit waren kompromittiert. Kurz darauf reagierte der Angreifer mit einer Aktualisierung von Pickai, um eine neue Domain – historyandresearch.com – mit einer Laufzeit von fünf Jahren zu verwenden, was auf eine bewusste und hartnäckige Haltung gegenüber den Bemühungen zur Abschaltung hindeutet.

Pickai-Beispiele wurden auf der offiziellen Website von Rubick.ai gehostet – einer kommerziellen KI-gestützten Plattform für den E-Commerce-Sektor in den USA, Indien, Singapur und dem Nahen Osten.Basierend auf öffentlichen Quellen bietet Rubick.ai Dienstleistungen für über 200 große Online-Einzelhandelsmarken an, darunter:

• Amazon – nutzt Rubick.ai für die Verwaltung seines Produktkatalogs
• The Luxury Closet (VAE) – nutzt KI-Tools für die Bildoptimierung und Produktkennzeichnung
• Hudson Bay (Nordamerika) – nutzt Rubicks PIM- und Marketing-Toolkits
• Myntra (Indien) – ist für die Verwaltung von über 7 Millionen SKUs auf Rubick.ai angewiesen

Da Rubick.ai als vorgelagerter Dienstleister fungiert, könnte eine Kompromittierung des Unternehmens Malware oder Backdoors in Dutzende (oder Hunderte) von Kundenumgebungen weitergeben – eine klassische Bedrohung für die Lieferkette. Angesichts der Tatsache, dass aktuelle Sicherheitsanbieter Pickai-Samples meist als generische Bedrohungen erkennen und viele C2-Server weiterhin unmarkiert bleiben, haben wir uns entschlossen, diesen Artikel zu veröffentlichen, um unsere Erkenntnisse zu teilen.

Chronologie

• 28. Februar 2025: Eine frühe Version von Pickai wurde von Hongkong aus über den C2-Server 195.43.6.252 auf VirusTotal hochgeladen.
• 17. März: XLab entdeckt erstmals, dass Pickai-Payloads über ComfyUI-Schwachstellen verbreitet werden.
• 3. Mai: XLab meldet den Vorfall an Rubick.ai, erhält jedoch keine Antwort.
• 26. Mai: XLab beobachtet einen weiteren Pickai-Downloader, der unter der Adresse 78.47.151.49 gehostet wird.

Technische Analyse

Es wurden insgesamt sieben Pickai-Proben gesammelt, wobei die letzte vom 26. Mai als Hauptgegenstand dieser Analyse dient. Die grundlegenden Eigenschaften sind wie folgt:

Die Funktionalität von Pickai ist relativ einfach. Bei der Ausführung entschlüsselt es zunächst eingebettete Zeichenfolgen, die sensible Konfigurationsdaten wie C2s , Persistenzskripte usw. enthalten. Anschließend führt es eine Anti-Debugging-Maßnahme durch, indem es das Feld „TracerPid“ des Prozessstatus überprüft, die Ausführung einer einzigen Instanz über eine PID-Datei sicherstellt und den Systemaufruf „prctl“ verwendet, um seinen Prozess umzubenennen.

Je nach den Berechtigungen des aktuellen Benutzers wird die Persistenz entweder über init.d oder systemd hergestellt. Schließlich verbindet sie sich mit ihrem C2-Server und wartet auf Fernbefehle.

In den folgenden Abschnitten wird Pickai aus zwei Perspektiven analysiert –Host-Verhalten und Netzwerkkommunikation – mit Schwerpunkt auf der Entschlüsselung von Zeichenfolgen, Persistenzmechanismen und Details des Netzwerkprotokolls.

Teil 1: Entschlüsselung von Zeichenfolgen

Die meisten sensiblen Zeichenfolgen von Pickai werden in verschlüsselter Form im Abschnitt .rodata gespeichert. Die Verschlüsselungsmethode ist ein einfaches XOR mit 0xAF für jedes Byte, mit einem eindeutigen Muster: Alle Chiffretextzeichenfolgen enden mit 0xAF.

Teil 2: Verhalten des Hosts

Auf der Host-Seite bietet Pickai Anti-Debugging, Single-Instance-Enforcement, Prozess-Spoofing und Persistenz. Während die meisten Implementierungen recht konventionell sind, zeigt der Ansatz für Prozess-Spoofing und Persistenz eine bemerkenswerte Betonung auf Vielfalt.

0x1: Prozess-Spoofing

Die „Vielfalt” beim Prozess-Spoofing liegt in der Vielzahl der verwendeten Namen. Pickai wählt zufällig einen aus einem Pool von 20 vordefinierten Prozessnamen aus und verwendet den prctl-Syscall, um sich entsprechend umzubenennen.

0x2: Persistenz

Die „Vielfalt” bei der Persistenz liegt in der Anzahl der erstellten Dienste – 10 für Root-Benutzer und 5 für Nicht-Root-Benutzer.

Wenn Pickai als Root ausgeführt wird, kopiert es sich selbst in fünf verschiedene Pfade und synchronisiert die Änderungszeit jeder Datei mit der von /bin/sh. Anschließend richtet es Dienste sowohl mit init.d als auch mit systemd ein, um Persistenz zu erreichen.

Es ist klar, dass Pickai versucht, sich als legitime Systemdienste auszugeben, um unentdeckt zu bleiben.

Bemerkenswert ist, dass Pickai während des Selbstkopiervorgangs zufällige Daten an das Ende jeder Datei anhängt – offensichtlich mit dem Ziel, eine hash-basierte Erkennung zu umgehen.

Teil 3: Netzwerkkommunikation

Pickai kommuniziert mit seinen C2s in einer Endlosschleife unter Verwendung einer dreistufigen Zeitsteuerungsstrategie: Es wechselt alle 43.200 Sekunden (12 Stunden) die aktiven C2s, meldet alle 1.200 Sekunden Geräteinformationen und fordert alle 120 Sekunden Befehle an.

0x1: Befehlsanforderungspaket

Dies ist ein 1024-Byte-Paket, bei dem die ersten 7 Bytes auf LISTEN| gesetzt sind, gefolgt von Null-Füllzeichen. Pickai unterstützt zwei Befehle: EXECUTE (zum Ausführen von Systembefehlen) und REVERSE (zum Einrichten einer Reverse-Shell)

0x2: Geräteinformationsberichtspaket

Ebenfalls 1024 Byte lang, beginnend mit UPDATE|, gefolgt von drei Metadatenfeldern, wobei der Rest mit 0x00 aufgefüllt ist:

System-Fingerabdruck (uname -a)

Privilegienstatus (ob der aktuelle Benutzer root ist)

Docker-Status (prüft, ob PID 1 init oder systemd)

0x3: C2-Lebenszeichenprüfung

Die Probe enthält sechs fest codierte C2-Domänen. Der Bot prüft jede davon in der Reihenfolge ihrer Priorität, bis er eine Antwort vom ersten aktiven C2 erhält. Dieser Ansatz maskiert die Anwesenheit von C2s mit niedrigerer Priorität während des normalen Betriebs, wodurch es für sandboxbasierte IOC-Systeme schwieriger wird, die gesamte Infrastruktur zu beobachten.

Das Liveness-Probe-Paket ist 7 Byte lang: STATUS|. Eine LISTENING Antwort vom Server zeigt an, dass der C2 aktiv ist.

0x4: Verfolgte Befehle

Wir haben das Protokoll von Pickai in das Befehlsverfolgungssystem von XLab implementiert und am 6. Juni nur zwei Befehle beobachtet, die beide Reverse-Shells auslösten. Da wir Folgebefehle wie REVERSE oder EXECUTE noch nicht emuliert haben, bleibt die Absicht des Angreifers nach Erlangung des Shell-Zugriffs unbekannt.

Fazit

Die redundanten Persistenzmechanismen von Pickai verleihen ihm die Eigenschaften eines hartnäckigen Trojaners – jede übrig gebliebene Kopie kann eine vollständige Wiederbelebung auslösen. Netzwerkadministratoren wird empfohlen, auf der Grundlage der oben beschriebenen Verhaltensweisen auf Host-Ebene gründliche Überprüfungen durchzuführen und sicherzustellen, dass alle fünf implantierten Kopien vollständig entfernt werden, um eine erneute Infektion zu verhindern.

Dieser Bericht fasst die Informationen zusammen, die wir bisher über Pickai gesammelt haben. Wir freuen uns über Beiträge von anderen Forschern mit einzigartigen Perspektiven – und von Netzwerkadministratoren, die von dieser Backdoor betroffen sind.

Quelle: XLab-Blog

---