Mit Quasar Linux (QLNX) ist ein neuer Remote Access Trojan (RAT) aufgetaucht, der Systeme von Linux-Entwicklerinnen und -Entwicklern im Visier hat. Durch seine Kombination aus Rootkit‑Techniken, Credential‑Diebstahl und Tarnmechanismen versetzt das erstmals Anfang Mai von Trend Micro dokumentierte Linux-RAT Bedrohungsakteure in die Lage, einen kompletten und verdeckten Angriffs-Workflow durchzuführen.

Konkrete, durch QLNX verursachte Schadensfälle nennen die Sicherheitsforscher von Trend Micro nicht. In ihrer ausführlichen Analyse stufen sie das Bedrohungspotenzial dennoch als hoch ein, weil die Linux-Malware auf Entwickler‑ und DevOps‑Zugangsdaten in der gesamten Software‑Lieferkette abzielt und sich nur schwer von infizierten Systemen entfernen lässt.

Zum Zeitpunkt der Analyse schien Trend Micro der einzige AV-Anbieter mit detaillierten Detection-Regeln zu QLNX zu sein. Mittlerweile hat sich SOC Prime dazugesellt.

Ungebetener Dauergast

Auf infizierten Systemen stiehlt QLNX Geheimnisse zu npm, PyPI, GitHub, Amazon Web Services (AWS), Docker und Kubernetes. Informationen wie private SSH-Schlüssel, Browserlogins, Shell-Histories, der Inhalt der Zwischenablage sowie Passwörter, die im Linux‑PAM‑Authentifizierungsprozess unverschlüsselt vorliegen, stehen ebenfalls im Fokus der Datendiebe.

Die Informationen fließen über HTTPS, HTTP oder ein Custom-TLS-Protokoll an einen entfernten Server der Angreifer. Über den gleichen Kommunikationskanal empfängt die Malware auch Befehle. Durch seine P2P‑Mesh‑Funktion kann QLNX Daten zudem über andere kompromittierte Systeme weiterleiten, was seine Erkennung und Entfernung deutlich schwieriger macht.

Die gleiche Hartnäckigkeit legt QLNX auf infizierten Endgeräten an den Tag, denn dort betreibt es einigen Aufwand, um unauffällig im Hintergrund agieren zu können. Nach der Erstinfektion löscht das Linux-RAT seine Binärdateien, läuft fileless im Arbeitsspeicher weiter, fälscht seinen Prozessnamen, lässt Systemprotokolle verschwinden und installiert sieben redundante Persistenzmechanismen, um auch nach einer Teilbereinigung weiter aktiv bleiben zu können.

Seinen Namen verleiht sich Quasar Linux quasi selbst. Die Malware verwendet zur Installation systemd-Einträge wie ~/.config/systemd/user/quasar_linux.service und /etc/systemd/system/quasar_linux.service.

QLNX bringt alle Voraussetzungen mit, um eine Supply-Chain-Attacke à la LiteLLM durchzuführen. Zur Erinnerung: Am 24. März 2026 kompromittierten Cyberkriminelle über einen aus LiteLLMs CI/CD-Pipeline erbeuteten PyPI-Token zwei LiteLLM-Pakete (v1.82.7 und v1.82.8) im Python Package Index und versahen sie mit einem Credential-Stealer.

(mro)

Der Druck steigt auf die EU-Kommission, europäische Digitalgesetze konsequent durchzusetzen. In einem offenen Brief fordern dutzende zivilgesellschaftliche Organisationen EU-Kommissionspräsidentin Ursula von der Leyen (CDU) auf, den Digital Markets Act (DMA) „buchstabengetreu und frei von politischer Einflussnahme“ zu vollstrecken.

Ähnliche Töne kommen aus dem EU-Parlament. Externer Druck dürfe die Souveränität und Autonomie der EU bei der Festlegung ihrer eigenen Regeln nicht beeinträchtigen, mahnen die Abgeordneten in einer vergangene Woche verabschiedeten Resolution. Wirksame und verhältnismäßige Geldstrafen seien „unerlässlich, um Abschreckung zu gewährleisten und die Wirksamkeit des Gesetzes über digitale Märkte zu sichern“, so der Tenor der nicht bindenden Entschließung.

Hintergrund für die Appelle sind vermehrte Zeichen, dass die EU-Kommission Beißhemmungen gegenüber großen, vor allem in den USA ansässigen Tech-Unternehmen hat – genau die Unternehmen, deren Macht der DMA eigentlich einhegen soll. Das seit wenigen Jahren wirksame Gesetz macht sogenannten Gatekeepern, die in bestimmen Digitalsektoren übermäßig viel Marktmacht angesammelt haben, eine Reihe an Auflagen, um einen funktionierenden Wettbewerb sicherzustellen.

Ergebnis im Google-Verfahren überfällig

Zwar hat die EU-Kommission, die für die Aufsicht der Gatekeeper zuständig ist, zahlreiche Untersuchungen wegen Verdachts von DMA-Verletzungen eingeleitet. Vor über einem Jahr hatte sie etwa Google und Apple vorgeworfen, ihre App-Marktplätze nicht ausreichend zu öffnen. Zum anderen sollte Google in der Suchmaschine eigene Angebote für Shopping oder Reisen bevorzugt haben.

Auf das Ergebnis dieser Untersuchungen wartet die Öffentlichkeit jedoch weiterhin. Fällig wäre es Ende März gewesen. Darauf scheint sich Alphabet vorbereitet zu haben: Anonyme Quellen hatten der Nachrichtenagentur Reuters zufolge zu Beginn des Jahres in Aussicht gestellt, dass Google seine Wettbewerber prominenter in den Suchergebnissen anzeigen werde, um der drohenden Geldstrafe zu entgehen. Umgesetzt hat Google das nicht.

Von der Leyen soll auf der Bremse stehen

Tatsächlich soll die EU-Wettbewerbsabteilung zu dem Schluss gekommen sein, dass Alphabet gegen den DMA verstoßen habe, berichtete jüngst das Handelsblatt (€). Die Entscheidung – samt einer milliardenschweren Geldbuße – soll jedoch nach einer Intervention von Ursula von der Leyen wieder in der Schublade verschwunden sein.

Dem Fachblatt The Capitol Forum (€) zufolge soll die Kommissionspräsidentin bereits seit Januar auf der Bremse stehen. Anstelle einer Verurteilung setzte die Kommission seit Jahresanfang weitere Verfahren in die Welt: Unter anderem will sie Alphabet dabei unterstützen, das Android-Betriebssystem für Entwickler:innen weiter zu öffnen sowie Dritt-Anbietern den Zugriff auf bestimmte Daten der Google-Suchmaschine zu geben.

Auf Anfrage bestreitet die EU-Kommission die Vorwürfe. „Es gibt absolut keine politische Blockade von Fällen“, sagte heute ein Kommissionssprecher bei einem Presse-Briefing. Abgeschlossene Untersuchungen seien auch in ihrem Interesse. Es gehe nicht darum, eine Strafe nur der Strafe wegen zu verhängen. Eine Entscheidung werde von der Kommission erst dann final abgesegnet, wenn sie „technisch fertig und solide genug“ sei, so der Sprecher.

Europäische Digitalgesetze, neben dem DMA auch der Digital Services Act (DSA) oder die Datenschutz-Grundverordnung (DSGVO), sind für große Tech-Konzerne wie Alphabet oder Apple ein rotes Tuch. Jahrzehntelang konnten sie weitgehend ungehindert wachsen und bestimmte Marktsegmente besetzen, ohne auf nennenswerten Widerstand von Kartellbehörden zu stoßen. Vor allem der in der ersten Amtsperiode von der Leyens verabschiedete DMA hat das wachsende Ungleichgewicht auf digitalen Märkten im Visier.

Mit dem Wahlsieg Donald Trumps und seiner America-First-Agenda hat die Tech-Branche einen willigen Unterstützer in ihrem Kampf gegen angebliche Überregulierung gefunden. Unmittelbar nach seinem Amtsantritt im Januar 2025 legte der US-Präsident etwa in einem Memorandum mit Verweis auf DMA und DSA fest, US-amerikanische Unternehmen vor „Erpressung und unfairen Geldbußen aus dem Ausland“ schützen zu wollen.

Gedroht hatte Trump unter anderem mit Strafzöllen, die er einige Monate später tatsächlich vorstellte. Zwar konnte sich die EU im Spätsommer auf einen Deal mit den USA einigen, ohne auf dem Papier die Digitalgesetze anzufassen. Vom Tisch ist die Auseinandersetzung jedoch nicht: Bis heute haben sich die EU-Institutionen nicht darauf geeinigt, wie die Zollvereinbarung aus dem Vorjahr umgesetzt werden soll.

„Die EU-Kommission knickt ein“

Auch für die US-Seite ist die Angelegenheit nicht abgeschlossen. Hochrangige US-Vertreter schießen weiterhin gegen EU-Digitalgesetze und verknüpfen sie mit dem Handelsstreit. Die EU müsse ihre Regulierung von Big Tech lockern, um im Gegenzug geringere Zölle auf Stahl und Aluminium entrichten zu müssen, sagte US-Handelsminister Howard Lutnick im Herbst. Zugleich warnte der US-Botschafter bei der EU, Andrew Puzder, dass der DMA zu sehr auf US-amerikanische Tech-Konzerne ziele.

Im April war bekannt geworden, dass die EU-Kommission ein Gremium plant, um der Trump-Regierung entgegenzukommen. Darin soll sich die US-Regierung mit der EU zu Digitalregeln und Kartellverfahren abstimmen, wie die EU-Kommission dem Handelsblatt bestätigte.

Das nachgiebige und intransparente Vorgehen der EU-Kommission stößt jedoch immer mehr auf Kritik. Felix Duffy von der Nichtregierungsorganisation LobbyControl sagt etwa: „Die EU-Kommission knickt ein und sendet ein fatales Signal: Wenn Tech-Konzerne bei Verstößen gegen die EU-Digitalregeln keine Konsequenzen zu fürchten haben, bleiben Gesetze wie der DMA wirkungslos.“

Dem pflichtet Max Bank von der Organisation Rebalance Now bei: Zwar zeige der DMA Wirkung, drohe aber zum zahnlosen Tiger zu werden, weil die Kommission nicht konsequent handle. „Wenn selbst überfällige Strafzahlungen gegen Konzerne wie Google politisch gestoppt werden, untergräbt das die Glaubwürdigkeit des Gesetzes“, sagt Bank.

Gestern haben Cem Özdemir und Manuel Hagel den grün-schwarzen Koalitionsvertrag für Baden-Württemberg vorgestellt. Hier sollen demnach erstmals in Deutschland Kameras eingesetzt werden, die sowohl das Verhalten der Abgebildeten analysieren und bewerten, als auch deren Gesichter vermessen, um per Gesichtserkennung herauszufinden, ob sie von polizeilichem Interesse sind.

Die Verhaltenskontrolle wird bereits seit acht Jahren in Mannheim trainiert. Das Modellprojekt soll nun räumlich ausgeweitet werden, auf zwei weitere, bislang ungenannte Städte. Auch der Umfang wird erweitert, denn zusätzlich zur Verhaltenserkennungs-Technologie sollen künftig auch Objekte und Gesichter von den Kameras erkannt werden.

Live-Gesichtserkennung läuft in Deutschland bislang nur in Frankfurt am Main hinter öffentlichen Überwachungskameras. Die Software vermisst jedes Gesicht im Erfassungsbereich und schlägt Alarm, sobald es einem gesuchten Gesicht sehr ähnlich ist. Gesucht wird damit nach Terrorist*innen, nach vermissten Menschen, nach Opfern von Entführung, Menschenhandel oder sexueller Ausbeutung. Analysiert und mit den Polizeidatenbanken abgeglichen wird aber jedes Gesicht, das die Kameras aufnehmen.

Zusätzlich zur Echtzeit-Fernidentifizierung wollen Grüne und CDU der Polizei in Baden-Württemberg auch die Suche nach bestimmten Gesichtern im Internet erlauben. Auf Bundesebene gibt es aktuell ebenfalls Bestrebungen, das Tool einzuführen. Damit können Beamt*innen beispielsweise Menschen auf Social Media finden, etwa auf Bildern, die Vereine oder Arbeitgeber ins Netz stellen. Selbst auf Totalaufnahmen von Großveranstaltungen könnten Personen gefunden werden. Wenn die Verhaltensanalyse in einer der Pilotstädte eine Straftat detektiert, kann damit theoretisch auch die tatverdächtige Person retrograd identifiziert werden.

„Schonung der Grundrechte“

Für die Echtzeit-Fernidentifizierung und die Gesichtersuchmaschine muss die Koalition das Polizeigesetz von Baden-Württemberg ändern. Dabei hatte Grün-Schwarz das erst Ende vergangenen Jahres getan. Damals hatte die Landesregierung der Polizei Datenanalyse nach Palantir-Art erlaubt, die diese ohnehin schon lange betrieb. Außerdem genehmigten die alten und neuen Koalitionspartner der Polizei auch das KI-Training mit den persönlichen Daten von Bürger*innen sowie die Weitergabe dieser an externe Stellen.

Nun soll also eine neue Polizeigesetznovelle kommen, die auch Echtzeit-Fernidentifizierung ermöglicht. Niedersachsen, Sachsen und Schleswig-Holstein sind ebenfalls daran, Gesetzesgrundlagen dafür einzuführen. Die Technologie ist in Sicherheitsbehörden ziemlich beliebt, genauso wie der Verhaltensscanner, der in Mannheim trainiert wird. Vergangenes Jahr hat ihn Hamburg übernommen, Berlin folgt wohl als nächstes, Hessen, Niedersachsen, Sachsen, Schleswig-Holstein und Thüringen haben bereits Rechtsgrundlagen dafür oder arbeiten daran.

Bislang hat sich noch niemand getraut, beide Technologien auf einmal einzusetzen. Die Datenschutzbedenken sind bei beiden allein schon sehr hoch. In Baden-Württemberg gibt es nun aber scheinbar keine Scheu mehr. „KI-Videoschutz kann für mehr Sicherheit bei gleichzeitiger Schonung der Grundrechte sorgen“, schreiben Grüne und CDU in ihrem Koalitionsvertrag.

Dass es bei den drei Standorten bleibt, an denen die Koalition die multiple KI-Überwachung pilotieren will, ist vermutlich eher unrealistisch. Bereits vor der Wahl hatten sich Özdemir und Hagel dazu bekannt, den Einsatz von Videoüberwachungskameras entgrenzen zu wollen. Für den Einsatz soll keine erhöhte Kriminalitätsbelastung mehr nötig sein, die Kommunen sollen freihändig darüber entscheiden.