Die Hackergruppe Silver Dragon, verbunden mit der chinesischen APT41, führt seit Mitte 2024 Cyberangriffe auf Regierungen in Europa und Südostasien durch. Die Gruppe nutzt Cobalt Strike und Google Drive als Kommandozentrale.
Sicherheitsexperten haben eine neue Advanced-Persistent-Threat-Gruppe namens Silver Dragon identifiziert, die seit mindestens Mitte 2024 Regierungseinrichtungen in Europa und Südostasien ins Visier nimmt. Check Point belegt in einem technischen Bericht, dass die Angreifer über mehrere Wege eindringen: Sie exploitieren öffentlich erreichbare Server und versenden Phishing-E-Mails mit Schadcode-Anhängen. Zur Wahrung der Persistenz kapern sie legitime Windows-Dienste, um ihre Malware-Prozesse im normalen Systemverkehr unsichtbar zu machen.
Silver Dragon wird dem Netzwerk der chinesischen Hackergruppe APT41 zugeordnet, die seit 2012 Ziele in Gesundheitswesen, Telekommunikation, Technologie, Bildung und Medien attackiert. APT41 kombiniert staatliche Spionage mit finanziell motivierten Aktivitäten.
Die Angreifer setzen Cobalt-Strike-Beacons für die Persistierung und DNS-Tunneling für die Command-and-Control-Kommunikation ein, um Erkennungsmechanismen zu umgehen. Check Point identifizierte drei verschiedene Infektionsketten: AppDomain-Hijacking, Service-DLL und E-Mail-Phishing.
Bei den ersten beiden Methoden nutzen die Angreifer komprimierte Archive mit Batch-Skripten. Die AppDomain-Hijacking-Kette setzt auf MonikerLoader, einen .NET-basierten Loader, der verschlüsselte Payloads direkt im Speicher dekodiert und ausführt. Die Service-DLL-Kette verwendet hingegen BamboLoader, einen stark verschleierter C++-Loader, der als Windows-Dienst registriert wird und Shellcode in legitime Prozesse wie “taskhost.exe” injiziert.
Die Phishing-Kampagne zielt hauptsächlich auf Usbekistan ab und nutzt manipulierte Windows-Shortcuts als Anhänge. Diese LNK-Dateien starten PowerShell-Code über “cmd.exe” und führen zu mehreren Payload-Stufen. Nach der Ausführung authentifiziert sich der Backdoor an einem attacker-kontrollierten Google-Drive-Konto und lädt Heartbeat-Dateien mit Systeminformationen hoch. Unterschiedliche Dateitypen signalisieren dabei die Art der auszuführenden Aufgabe.
Die Verbindung zu APT41 basiert auf übereinstimmenden Taktiken, insbesondere bei Post-Exploitation-Skripten, sowie dem Verschlüsselungsmechanismus von BamboLoader, der in früheren China-bezogenen APT-Aktivitäten beobachtet wurde. Check Point beschreibt Silver Dragon als gut ausgestattete und anpassungsfähige Bedrohungsakteure, die kontinuierlich ihre Tools und Techniken weiterentwickeln und neue Fähigkeiten über verschiedene Kampagnen hinweg testen.
Quelle: The Hacker News