Eine bislang unbekannte Hackergruppe namens UAT-10027 führt seit Dezember 2025 Angriffe auf amerikanische Bildungs- und Gesundheitseinrichtungen durch und setzt dabei die neuartige Dohdoor-Backdoor ein, die DoH-Verschleierung für versteckte Kommunikation nutzt.
Cisco Talos hat eine vorher unbekannte Angriffskampagne identifiziert, die seit mindestens Dezember 2025 Bildungs- und Gesundheitseinrichtungen in den USA ins Visier nimmt. Die Bedrohungsakteure werden unter dem Kürzel UAT-10027 verfolgt und verbreiten ein bislang unbekanntes Schadprogramm namens Dohdoor.
Die Backdoor nutzt eine raffinierten Technik: Sie setzt auf DNS-over-HTTPS (DoH) für ihre Command-and-Control-Kommunikation auf und kann zusätzliche Schadcode-Module direkt in den Speicher laden und ausführen. Das erklären die Sicherheitsforscher Alex Karkins und Chetan Raghuprasad in ihrem technischen Bericht.
Wie die Angreifer zunächst in die Netzwerke eindringen, ist noch unklar. Experten vermuten jedoch, dass Phishing-E-Mails eine Rolle spielen, die zur Ausführung von PowerShell-Skripten führen. Diese laden wiederum ein Windows-Batch-Skript herunter, das eine bösartige DLL namens “propsys.dll” oder “batmeter.dll” bereitstellt. Diese DLL ist Dohdoor selbst.
Zum Start dieser Komponente nutzen die Angreifer eine bekannte Schwachstelle: Sie laden die Backdoor über legitime Windows-Programme wie “Fondue.exe”, “mblctr.exe” oder “ScreenClippingHost.exe” – ein Verfahren, das DLL-Side-Loading genannt wird. Einmal aktiv, lädt die Backdoor weitere Nutzlasten direkt in den Speicher, wobei es sich offenbar um Cobalt Strike Beacon handelt.
Ein cleverer Trick schützt die Angreifer vor Erkennung: Sie verstecken ihre Kommandoserver hinter der Infrastruktur von Cloudflare. Dadurch erscheint jeglicher Datenverkehr vom befallenen Rechner wie normaler HTTPS-Traffic zu einer vertrauenswürdigen IP-Adresse. Dies umgeht DNS-basierte Erkennungssysteme, DNS-Sinkholes und Netzwerk-Analysetools, die nach verdächtigen Domain-Anfragen suchen.
Weitere technische Raffinesse: Dohdoor manipuliert Systemaufrufe, um Endpoint-Detection-and-Response-Lösungen (EDR) zu umgehen, die Windows-API-Aufrufe überwachen.
Die Forscher haben festgestellt, dass mehrere Bildungseinrichtungen sowie eine Seniorenresidenz betroffen sind. Bemerkenswert: Eine Universität hat Verbindungen zu mehreren anderen Institutionen, weshalb das Angriffspotenzial erheblich sein könnte. Bislang gibt es keine Hinweise auf Datendiebstahl, doch die Täter könnten es auf finanziellen Gewinn abgesehen haben.
Wer hinter UAT-10027 steckt, bleibt unklar. Cisco Talos hat jedoch Ähnlichkeiten zwischen Dohdoor und LazarLoader gefunden – ein Tool, das die nordkoreanische Gruppe Lazarus nutzt. Allerdings unterscheidet sich die Kampagne von Lazarus’ typischen Zielen wie Kryptowährungsbörsen und Rüstungsunternehmen. Allerdings haben nordkoreanische APT-Gruppen bereits den Gesundheitssektor angegriffen (mit Maui-Ransomware), und die Gruppe Kimsuky zielt regelmäßig auf Bildungseinrichtungen ab – was eine gewisse Übereinstimmung mit UAT-10027 zeigt.
Quelle: The Hacker News