MalwareCloud-SicherheitHackerangriffe

APT41 nutzt unsichtbare Cloud-Backdoor zur Plünderung von AWS-, Azure- und GCP-Anmeldedaten

APT41 nutzt unsichtbare Cloud-Backdoor zur Plünderung von AWS-, Azure- und GCP-Anmeldedaten
Zusammenfassung

Die chinesische Hackergruppe APT41 hat eine hochentwickelte Malware entwickelt, die speziell darauf ausgerichtet ist, Cloud-Umgebungen anzugreifen und Anmeldedaten zu stehlen. Die neu entdeckte Backdoor ist ein Linux-basiertes Programm, das sich als völlig undetektierbar darstellt und über den SMTP-Port 25 kommuniziert, um vor herkömmlichen Sicherheitsscannern verborgen zu bleiben. Das Besondere daran: Bei der Analyse wies die Malware null Erkennungen auf VirusTotal auf – ein Zeichen für ihre technische Raffinesse. APT41 hat diese Cloud-spezifischen Angriffswerkzeuge über mindestens sechs Jahre entwickelt und setzt gezielt auf Typosquatting-Domains, um ihre Aktivitäten zu verschleiern. Die Gefahr ist erheblich, denn einmal gestohlen, geben Cloud-Credentials Angreifern Zugang zu AWS, Google Cloud, Microsoft Azure und Alibaba Cloud. Deutsche Unternehmen und Behörden mit Cloud-Infrastrukturen sind ebenso gefährdet wie internationale Organisationen. Die Attacken zeigen, dass APT41 ihre Fähigkeiten kontinuierlich modernisiert und sich vom klassischen Endpoint-Schutz hin zu Cloud-nativen Angriffsszenarien verlagert hat – eine Entwicklung, auf die sich Sicherheitsverantwortliche dringend vorbereiten müssen.

APT41, auch unter den Namen Winnti, Wicked Panda und Brass Typhoon bekannt, gehört zu den produktivsten China-verbundenen Hackergruppen weltweit. Die Gruppe agiert weniger als ein einzelnes Team, sondern vielmehr als ein Netzwerk von Cyber-Kriminellen und Spionen, die im Auftrag Pekings tätig sind und gleichzeitig für finanzielle Gewinne durch Cyberkriminalität operieren. Bereits 2020 klagte die US-Regierung fünf Mitglieder der Gruppe an, doch dies hat die Aktivitäten bislang nicht wesentlich gebremst.

Die neu entdeckte Backdoor-Kampagne zielt gezielt auf moderne Cloud-Infrastrukturen ab, nicht auf traditionelle Desktop- oder Server-Systeme. Das Schadprogramm ist ein sogenanntes ELF-Binary (Executable and Linkable Format), das speziell für Linux-Systeme entwickelt wurde. Nach Installation beginnt die Malware sofort, den AWS-Instance-Metadaten-Service über die bekannte Adresse 169.254.169.254 abzufragen. Dies ist der kritische erste Schritt: Mit den gestohlenen Anmeldedaten können Angreifer in Cloud-Umgebungen agieren, als wären sie legitime Benutzer.

Die Raffinesse der Operation liegt auch in der Verschleierungstaktik: APT41 nutzte drei sogenannte Typosquatting-Domains, die echten Alibaba-Cloud-Services ähneln und die bekannte chinesische Cybersecurity-Marke Qianxin nachahmen. Diese Domains wurden zwischen dem 20. und 21. Januar 2026 innerhalb von nur 24 Stunden registriert — ein klassisches Muster der APT41-Infrastruktur-Beschaffung, bei dem Budget-Registrar und WHOIS-Datenschutz genutzt werden.

Die Kommunikation zwischen Backdoor und Angreifern erfolgt über SMTP-Port 25, einen Port, der normalerweise für E-Mail-Verkehr verwendet wird. Dies macht die Aktivitäten praktisch unsichtbar für herkömmliche Sicherheitstools wie Shodan und Censys. Die Command-and-Control-Server sind zudem bewusst unfreundlich konfiguriert: Sie antworten nur auf Anfragen, die dem exakten Kommunikationsmuster der Malware entsprechen.

Für deutsche Unternehmen mit Cloud-Infrastruktur sind mehrere Maßnahmen dringend empfohlen: Auf Netzwerk-Ebene sollten ausgehende SMTP-Verbindungen von Nicht-Mail-Servern überwacht werden. Host-basiert können Sicherheitsverantwortliche nach verkleinerten, statisch gebundenen ELF-Binaries in verdächtigen Verzeichnissen wie /tmp oder /dev/shm suchen. Auf Cloud-Ebene sollten AWS CloudTrail und Google Cloud Audit Logs aktiviert werden, um verdächtige Anmeldeversuche zu erkennen. Eine Implementierung von IMDSv2 (bei AWS) erschwert Credentials-Diebstahl erheblich, da Session-Token erforderlich werden.

Ähnliche Artikel