HackerangriffeMalwareSchwachstellen

Chinesische APT-Gruppe UAT-8302 attackiert Regierungen mit gemeinsamer Malware

Von CyberDeutsch Redaktion
Chinesische APT-Gruppe UAT-8302 attackiert Regierungen mit gemeinsamer Malware
Zusammenfassung

Eine chinesisch verbundene APT-Gruppe mit der Bezeichnung UAT-8302 führt seit Ende 2024 koordinierte Cyberangriffe auf Regierungseinrichtungen in Südamerika und seit 2025 auch auf staatliche Behörden in Südosteuropa durch. Das von Cisco Talos dokumentierte Bedrohungsakteur-Netzwerk nutzt dabei eine bemerkenswerte Strategie: Es setzt auf gemeinsam genutzte Malware-Werkzeuge, die auch von anderen chinesisch ausgerichteten Hackergruppen eingesetzt werden. Besonders hervorzuheben ist das .NET-basierte Backdoor-Programm NetDraft, das auch unter den Namen NosyDoor und LuckyStrike Agent bekannt ist und bereits bei Angriffen auf Russland zum Einsatz kam. Die Angriffskampagnen deuten auf enge Zusammenarbeit zwischen mehreren chinesischen APT-Gruppen hin und nutzen ein ausgefeiltes Toolkit aus Custom-Malware und etablierten Hacking-Tools. Für Deutschland sind diese Erkenntnisse relevant, da deutsche Behörden und Unternehmen mit internationalem Fokus ähnliche Bedrohungen durch chinesische Akteure abwehren müssen. Die Kampagnen zeigen zudem ein neues Phänomen der chinesischen Cyberkriminellen: spezialisierte Dienstleistungsmodelle beim Austausch von Initial-Access-Rechten zwischen verschiedenen Gruppen, was die Effizienz und das Risikopotenzial solcher Angriffe erheblich erhöht.

Die Sicherheitsfirma Cisco Talos hat die Aktivitäten der APT-Gruppe UAT-8302 dokumentiert und damit eine neue Dimension der organisierten Cyberkriminalität aufgedeckt. Die Gruppe setzt dabei auf ein Ökosystem von Malware-Werkzeugen, die auch von anderen China-verbundenen Hackergruppen wie Ink Dragon, Earth Alux und Jewelbug genutzt werden.

Im Zentrum der Angriffskampagnen steht das .NET-basierte Backdoor-Programm NetDraft, auch unter dem Namen NosyDoor bekannt. Diese Schadsoftware ist eine C#-Variante des älteren FINALDRAFT (Squidoor) und wird von mehreren Bedrohungsakteuren eingesetzt. ESET verfolgt die Nutzung von NosyDoor durch die Gruppe LongNosedGoblin, während das russische Sicherheitsunternehmen Solar die gleiche Malware bei Angriffen auf russische IT-Organisationen durch die Gruppe Erudite Mogwai (auch als Space Pirates und Webworm bekannt) beobachtet hat und sie dort als LuckyStrike Agent bezeichnete.

Die Angriffsketten von UAT-8302 folgen dabei einem bewährten Muster: Nach dem initialen Zugriff, mutmaßlich durch die Ausnutzung von Zero-Day- und N-Day-Schwachstellen in Webanwendungen, führen die Angreifer umfangreiche Aufklärung durch. Sie nutzen Open-Source-Tools wie Gogo zur automatisierten Netzwerk-Analyse und bewegen sich lateral durch die IT-Infrastruktur. Die eigentlichen Angriffsketten enden mit der Bereitstellung von NetDraft, CloudSorcerer (Version 3.0) und VShell.

Besonders innovativ ist der Einsatz einer Rust-basierten Variante von SNOWLIGHT namens SNOWRUST, die zur Steuerung und Ausführung von VShell-Payloads verwendet wird. Darüber hinaus etabliert UAT-8302 alternative Hintertüren durch Proxy- und VPN-Tools wie Stowaway und SoftEther VPN.

Die Zusammenarbeit zwischen chinesischen APT-Gruppen folgt dabei neuen, spezialisierten Modellen. Trend Micro dokumentierte 2025 ein Phänomen namens “Premier Pass-as-a-Service”, bei dem Initial-Access-Informationen von Earth Estries an Earth Naga weitergegeben werden. Dieses Partnerschaftsmodell könnte bereits seit Ende 2023 bestehen.

Die Forscher von Cisco Talos betonen, dass die verschiedenen eingesetzten Malware-Varianten UAT-8302 mit mehreren bekannten Bedrohungsclustern verbinden und auf enge operative Beziehungen zwischen diesen Gruppen hindeuten. Die Strategie reduziert Aufklärungszeiten erheblich und konzentriert sich auf kritische Systeme. Für europäische und deutsche Institutionen wird ein erhöhtes Aufklärungsbewusstsein und verstärkte Netzwerk-Monitoring-Maßnahmen erforderlich.

Ähnliche Artikel