Steaelite: Ny alt‑i‑én RAT samler datatyveri og ransomware

Eskil Sørensen
03.03.2026 13:46
Et kraftigt angrebsværktøj, der automatiserer både initial adgang, eksfiltration og kryptering – alt styret fra ét dashboard.

En ny fjernadgangstrojaner, Steaelite, er blevet sat til salg på cyberkriminelle markedspladser og kombinerer datatyveri, credential harvesting og ransomware i ét samlet værktøj. Steaelite beskrives af udviklerne som ”fuldt ud usynlig” og markedsføres aggressivt via Telegram og YouTube.

Det skriver The Register.

Steaelite, som altså er en RAT, dvs. en remote access trojan, der giver angriberen fjernadgang til en kompromitteret enhed via en trojansk installation, blev første gang observeret af BlackFog i november 2025. Og nu indikerer flere VirusTotal-prøver, at Steaelite er i brug i angrebskampagner, selv om konkrete hændelser endnu ikke er direkte tilskrevet værktøjet. Abonnementsmodellen koster 200 US dollar om måneden gør adgangsbarrieren lav og øger risikoen for, at uerfarne aktører kan gennemføre avancerede angreb.

Datahøst fra første sekund

Løsningen skal fungere på den måde, at så snart en kompromitteret maskine forbindes, begynder Steaelite automatisk at udtrække browseradgangskoder, cookies og applikationstokens - helt uden interaktion fra operatørens side. Denne, altså operatøren, har til gengæld adgang til et browserbaseret dashboard, der og opdelt i tre paneler, der tilsammen giver angriberen:

  • Remote code execution, filhåndtering og live skærmvisning
  • Webcam- og mikrofonadgang
  • Process‑ og clipboard-overvågning
  • Ransomware‑udrulning, skjult RDP, Defender‑deaktivering og persistens
  • Keylogging, USB‑spredning, UAC bypass og en ”clipper”, der udskifter kryptoadresser i clipboardet

En indbygget ”bot killer” fjerner endda konkurrerende malware, så Steaelite sikrer at den har systemet for sig selv.

Double extortion – nu plug‑and‑play

Traditionelt kræver dobbelt afpresning flere forskellige værktøjer og aktører. Her sker både datatyveri og kryptering fra én platform, og automatisk credential harvesting igangsættes øjeblikkeligt. Det reducerer kompleksiteten for angriberen og øger hastigheden i angrebskæden. For at føje spot til skade fremgår det af artiklen i The Register, at et Android-modul er på vej og det kan gør det muligt at ramme både Windows‑arbejdsstationer og medarbejderes mobile enheder – og dermed potentielt MFA- og kommunikationskanaler.

Den gode nyhed er, at man kan beskytte sig mod Staelite med velkendte teknikker, herunder bl.a.:

  • Stram endpoint‑hårdning
  • Adfærdsbaseret detektion
  • Netværkssegmentering
  • Credential‑sikkerhed
  • Kontinuerlig awareness

 

Læs mere

Trusselsvurdering