Die Cybersicherheitsfirma Trend Micro hat Details einer umfassenden Spionagekampagne veröffentlicht, die seit mindestens Dezember 2024 läuft und mehrere asiatische Länder sowie Polen unter Druck setzt. Die Gruppe SHADOW-EARTH-053 wird dem chinesischen Staatsapparat zugeordnet und zeigt Verbindungen zu anderen bekannten Hacker-Kollektiven wie CL-STA-0049, Earth Alux und REF7707.
Die Attacken folgen einem etablierten Muster: Die Angreifer nutzen bekannte Sicherheitslücken (sogenannte N-Day-Vulnerabilities) in nicht gepatchten Microsoft-Exchange- und IIS-Servern aus. Nach dem erfolgreichen Eindringen installieren sie Web-Shells wie „Godzilla”, um persistente Zugriffe zu etablieren. Von dort aus werden raffinierte ShadowPad-Implantate durch DLL-Sideloading auf den Zielsystemen eingeschleust. Die Opferliste ist beeindruckend und beängstigend zugleich: Pakistan, Thailand, Malaysia, Indien, Myanmar, Sri Lanka und Taiwan stehen auf der Abschussliste – sowie das NATO-Mitglied Polen.
Besonders interessant ist die Feststellung, dass fast die Hälfte der Ziele von SHADOW-EARTH-053 auch bereits von einer verwandten Gruppe namens SHADOW-EARTH-054 kompromittiert worden war. Dies deutet auf ein koordiniertes Vorgehen hin, bei dem mehrere Gruppen möglicherweise nacheinander zuschlagen oder sich das Terrain teilen.
Zum Arsenal der Angreifer gehören neben den Haupt-Malware-Tools auch Open-Source-Tunneling-Software wie IOX, GO Simple Tunnel (GOST) und Wstunnel. Zur Eskalation von Berechtigungen kommt das bekannte Tool Mimikatz zum Einsatz, während laterale Bewegungen durch maßgeschneiderte RDP-Launcher und Sharp-SMBExec ermöglicht werden.
Parallel zu dieser Espionagekampagne haben Forscher des Citizen Lab zwei weitere Phishing-Kampagnen aufgedeckt, die gezielt Journalisten und Aktivisten ins Visier nehmen. Die Gruppen GLITTER CARP und SEQUIN CARP konzentrieren sich auf digitale Impersonation von bekannten Persönlichkeiten und Sicherheitswarnungen von Tech-Unternehmen. GLITTER CARP hat insbesondere das International Consortium of Investigative Journalists (ICIJ) und die taiwanische Halbleiterindustrie angegriffen, während SEQUIN CARP speziell auf die Journalistin Scilla Alecci und andere internationale Reporter abzielt, die zu Themen berichten, die Peking kritisch sieht.
Trend Micro empfiehlt Organisationen dringend, alle verfügbaren Security-Updates und Patches für Microsoft Exchange und IIS-basierte Webanwendungen einzuspielen. Wo sofortige Patches nicht möglich sind, sollten Intrusion Prevention Systems (IPS) oder Web Application Firewalls (WAF) mit spezialisierten Regelwerken zum virtuellen Patchen implementiert werden.