Die chinesische APT-Gruppe Tropic Trooper, auch als Pirate Panda, KeyBoy oder APT23 bekannt, setzt verstärkt auf unkonventionelle Angriffsmethoden. Das zeigen Analysen von Sicherheitsforschern der japanischen Firma Itochu Cyber & Intelligence sowie des Unternehmens Zscaler, die ihre Erkenntnisse auf der Black Hat Asia präsentierten.
Historisch konzentrierte sich die Gruppe auf Spionage gegen Regierungen, Militär, Gesundheitswesen und High-Tech-Organisationen in Taiwan, den Philippinen und Hongkong. Nun jedoch pivotiert Tropic Trooper zu neuen geografischen Zielen und Opferprofilen: Privatpersonen in Japan, Südkorea und Taiwan stehen im Visier.
Besonders innovativ ist die neue Angriffstaktik: Die Hacker kompromittieren private Wi-Fi-Router ihrer Ziele und nutzen diese zur Manipulation von Software-Updates. Wie Ishimaru von Itochu erklärte, gelang es der Gruppe, die Aktualisierungen der Anwendung “Youdaodict” zu infiltrieren. Statt Malware direkt einzuschleusen, vergifteten die Angreifer den DNS-Server im Router des Opfers – ein “Evil Twin”-Angriff, der den Benutzer auf einen falschen Server umlenkte.
Besonders beunruhigend: Ein Jahr später erfolgte ein erneuter Angriff mit identischer Methodik auf demselben System. Dies deutet auf eine gezielte, persistente Strategie hin.
Die Forscher entdeckten zudem einen offenen Amazon-S3-Bucket mit 48 Dateien, darunter neue Malware-Varianten und gefälschte Authentifizierungsseiten für Signal und andere Anwendungen. Diese Phishing-Lures sind speziell auf hochrangige Personen in der Region zugeschnitten.
Die Malware-Toolbox von Tropic Trooper hat sich massiv erweitert. Die Gruppe nutzt nun neue Open-Source-Tools wie DaveShell, Donut Loader, Merlin Agent und Apollo Agent – Go-basierte Remote-Access-Trojaner aus dem Mythics-Framework. Hinzu kommen das benutzerdefinierte Backdoor C6DOOR und weiterhin ältere Tools wie EntryShell und Xiangoop-Loader-Varianten. Ein charakteristischer Fingerabdruck: Ein Cobalt-Strike-Beacon mit Watermark 520, das die Gruppe seit 2024 nutzt.
Zscaler dokumentierte parallel eine Kampagne mit militärischen Köder-Dokumenten, die trojanisierte SumatraPDF-Binärdateien zur Bereitstellung von AdaptixC2-Beacons und VS Code verwendeten.
Das Fazit ist eindeutig: Tropic Trooper optimiert sein Arsenal kontinuierlich und dehnt seinen geografischen Aktionsradius aus. Organisationen in der Region müssen ihre Defensiven überprüfen – besonders die Sicherheit privater Router, die häufig vernachlässigt wird. Auch europäische Sicherheitsverantwortliche sollten die Entwicklungen beobachten, da Angriffsmuster regelmäßig angepasst werden.