APT41 wurde erstmals 2012 identifiziert und gilt eher als loser Verbund denn als einzelne Gruppe. 2020 klagte die US-Regierung fünf Mitglieder an, die an Angriffen auf mehr als 100 Unternehmen weltweit beteiligt gewesen sein sollen. Die Anklagen haben die Aktivitäten der Gruppe bislang kaum gebremst.
Die nun entdeckte Operation richtet sich gegen moderne Cloud-Workloads statt gegen klassische Endgeräte. Nach dem Einsatz beginnt die Backdoor sofort, den Metadatendienst von AWS-Instanzen über den bekannten Endpunkt 169.254.169.254 abzufragen, um temporäre Zugangsdaten der Cloud-Identität des Hosts auszulesen. In Umgebungen mit zu weit gefassten Berechtigungen kann dieser eine Schritt laut Breakglass den Weg zu deutlich umfassenderem Zugriff öffnen. Die Backdoor fragt zudem entsprechende Dienste für Azure, Alibaba und GCP ab.
Besonders schwer nachzuverfolgen wird die Kampagne durch den Einsatz von drei Typosquatting-Domains. Diese ähneln legitimen Alibaba-Cloud-Diensten und greifen auf die chinesische Cybersicherheitsmarke Qianxin zurück, um schädlichen Datenverkehr im normalen Betriebsrauschen verschwinden zu lassen. Laut Bericht wurden alle drei Domains innerhalb eines 24-Stunden-Fensters (20.–21. Januar 2026) über NameSilo mit aktiviertem Datenschutz registriert — ein Muster, das Breakglass als typisch für die Infrastrukturbeschaffung von APT41 einordnet: Massenregistrierung über günstige Registrare mit WHOIS-Datenschutz und unmittelbarem anschließendem Einsatz.
Selbst wenn Verteidiger die Infrastruktur identifizieren, reagieren die eingesetzten C2-Server bewusst nicht auf beiläufige Anfragen und antworten nur auf Datenverkehr, der das exakte Kommunikationsmuster der Schadsoftware nachbildet.
Zur Erkennung liefert Breakglass Hinweise auf Netzwerk-, Host- und Cloud-Ebene. Auf Netzwerkebene sollten Verteidiger ausgehenden SMTP-Verkehr über Port 25 von Systemen überwachen, die keine Mail-Workloads sind, sowie auf UDP-Broadcast-Verkehr zum ungewöhnlichen Port 6006 achten. Verbindungen zur Adresse 43.99.48.196 und zu den drei Typosquatting-Domains lassen sich sperren oder überwachen.
Auf Host-Ebene empfiehlt Breakglass, unerwartete Zugriffe auf Dateien mit Cloud-Zugangsdaten zu prüfen und Aufrufe der Instanz-Metadaten-API durch nicht standardmäßige Prozesse zu beobachten, da legitime SDKs und Kommandozeilenwerkzeuge bekannte Prozessnamen tragen. Zudem sollte nach statisch gelinkten, von Symbolinformationen befreiten ELF-Binärdateien an ungewöhnlichen Orten wie /tmp, /var/tmp und /dev/shm gesucht werden.
Auf Cloud-Ebene rät Breakglass, AWS CloudTrail und Google Cloud Audit Logs zu aktivieren, bei der Nutzung von Zugangsdaten aus unerwarteten Quell-IP-Adressen zu alarmieren, IAM-Rollenübernahmen auf Auffälligkeiten zu prüfen und unter AWS IMDSv2 einzuführen, das für Metadatenzugriffe Sitzungstokens verlangt und den Diebstahl von Zugangsdaten erschwert.
