Ny malware: SolyxImmortal

Eskil Sørensen

01.21.2026 13:13

Python-baseret infostealer med Discord som C2-kanal

En ny trussel har meldt sin ankomst i cybersikkerhedslandskabet: SolyxImmortal, som er en Python-baseret information steeler , der udnytter legitime API’er og tredjepartsbiblioteker til at høste og eksfiltrere data. Ifølge en analyse fra Cyfirma er malwaren designet til vedvarende overvågning og datatyveri – og den gør det med en bemærkelsesværdig grad af stealth.

Det skriver Security Week baseret på en analyse fra sikkerhedsvirksomhedern Cyfirma.

Hvordan fungerer SolyxImmortal?

SolyxImmortal er en såkaldt monolitisk Python-applikation, der kører på Windows-systemer. Den er ikke selvreplikerende, men fokuserer på kontinuerlig overvågning og indsamling af værdifulde data. Blandt funktionerne findes ifølge Security Week:

Credential harvesting fra Chrome og andre Chromium-baserede browsere.
Dokumentindsamling baseret på filtype og størrelse.
Keylogging med in-memory buffer og periodisk eksfiltration.
Skærmovervågning, både event-baseret og med faste intervaller.

Malwaren etablerer persistence ved at kopiere sig selv til brugerens AppData-mappe, skjule filen som systembeskyttet og registrere sig under Run-nøglen i Windows-registret.

At applikationen er monolitisk betyder i software-sammenhæng, at hele applikationen er bygget som én samlet enhed, hvor alle funktioner og komponenter er tæt integreret i én kodebase og typisk kører som én proces.

Eksfiltration via Discord

En af de mest interessante aspekter er brugen af Discord webhooks som kommunikationskanal. SolyxImmortal anvender to separate webhooks:

Én til struktureret data (credentials, dokumenter).
Én til screenshots.

Ved at udnytte Discords HTTPS-protokol og gode omdømme undgår malwaren nemt netværksbaseret detektion. Desuden er en hardkodet Discord-bruger-ID inkluderet, hvilket gør det muligt for operatøren at modtage direkte notifikationer ved “high-value events”.

Designet til opportunistiske angreb

Ifølge Cyfirma er SolyxImmortal sandsynligvis udviklet af en tyrkisktalende aktør og distribueres via undergrundskanaler på Telegram. Den er rettet mod mindre sofistikerede trusselsaktører, men kan nemt tilpasses og genbruges af andre.

Denne udvikling understreger en trend i retning af, at trusselsaktører med mellemstor kapacitet og ressourcer udnytter tilgængelige platforme og scripting-sprog til at skabe effektive overvågningsværktøjer uden at opbygge egen infrastruktur.

SolyxImmortal viser, hvor hurtigt trusselsaktører kan kombinere legitime tjenester med simple scripts for at omgå traditionelle forsvar. Det stiller krav til:

Avanceret netværksmonitorering, der kan identificere mistænkelig brug af legitime tjenester.
Endpoint Detection & Response (EDR) med fokus på Python-baserede processer.
Brugeruddannelse om phishing og social engineering, da initial infektion ofte sker via kompromitterede links eller vedhæftede filer.

Læs mere

https://www.securityweek.com/solyximmortal-information-stealer-emerges/

Information