HackerangriffeSchwachstellenMalware

Chinesische Hackergruppe greift aserbaidschanisches Energieunternehmen wiederholt an – Microsoft-Exchange-Lücke bleibt lange offen

Von CyberDeutsch Redaktion
Chinesische Hackergruppe greift aserbaidschanisches Energieunternehmen wiederholt an – Microsoft-Exchange-Lücke bleibt lange offen
Zusammenfassung

Ein aserbaidschanisches Energieunternehmen ist zwischen Dezember 2025 und Februar 2026 Opfer wiederholter Cyberangriffe einer China-nahen Hackergruppe geworden. Die Attacken werden der Gruppe FamousSparrow zugeordnet, die über mehrere Wellen hinweg dieselbe Sicherheitslücke in Microsoft Exchange-Servern ausnutzte, um zwei unterschiedliche Backdoor-Programme einzuschleusen. Trotz mehrfacher Sanierungsversuche gelang es den Angreifern, immer wieder durch denselben Zugang zurückzukehren und ihre Malware-Arsenal zu erneuern. Das Targeting zielt auf Aserbaidschans wachsende Bedeutung für die europäische Energiesicherheit ab, nachdem Russlands Gastransit durch die Ukraine endete. Der Fall verdeutlicht ein kritisches Sicherheitsproblem: Angreifer nutzen Sicherheitslücken solange aus, bis nicht nur die Schwachstellen gepatcht, sondern auch Anmeldedaten geändert und der Zugriff vollständig unterbrochen ist. Für deutsche Unternehmen in der Energie- und Infrastrukturbranche ist dies eine Warnung, ihre Microsoft-Exchange-Systeme dringend zu überprüfen und ihre Incident-Response-Prozesse zu stärken, um zu verhindern, dass Angreifer nach erkannten Angriffen erneut eindringen können.

Die Attacken zeigen ein Muster, das deutschen Sicherheitsverantwortlichen vertraut vorkommen dürfte: Eine exploitierbare Schwachstelle wird zur Routine-Einbruchsmethode. FamousSparrow nutzte die ProxyNotShell-Schwachstellenkette, um sich ersten Zugang zum aserbaidschanischen Energiekonzern zu verschaffen. Der Attackverlauf lässt sich in drei Wellen unterteilen.

In der ersten Welle – am 25. Dezember 2025 – gelang es den Angreifern, Web-Shells zu platzieren und schließlich die Backdoor „Deed RAT” (auch Snappybee genannt) auszurollen. Deed RAT ist ein Nachfolger von ShadowPad und wird von mehreren chinesischen Spionage-Gruppen verwendet. Die Angreifer setzten dabei eine fortgeschrittene DLL-Side-Loading-Technik ein: Sie ließen das legitime LogMeIn-Hamachi-Programm die Malware laden. Anders als beim Standard-DLL-Side-Loading überschreibt diese Methode zwei spezifische Funktionen, was eine zweistufige Aktivierungskette schafft und die Erkennung erschwert.

Nach rund einem Monat folgte die zweite Welle (Januar/Februar 2026). Hier versuchten die Angreifer, die Backdoor „TernDoor” einzuschleusen – diese Malware wurde seit 2024 gegen Telekommunikationsinfrastruktur in Südamerika eingesetzt. Sie nutzten den „Mofu Loader”, einen Shellcode-Loader, der vorher der Gruppe GroundPeony zugeordnet wurde. Dieser Versuch scheiterte.

In der dritten Welle (Ende Februar 2026) kehrten die Angreifer zu einer modifizierten Version von Deed RAT zurück, mit Command-and-Control-Servern unter der Domain „sentinelonepro[.]com”.

Bitdefender hebt in seinem Report hervor, dass dies keine isolierte Kompromittierung ist, sondern eine nachhaltige, adaptive Operation. Die Angreifer führten laterale Bewegungen durch, um ihre Reichweite im Netzwerk zu erweitern, und etablierten redundante Zugriffspunkte – ein klassisches Zeichen professioneller Cyberattacken.

Für deutsche Unternehmen im Energiesektor sind mehrere Lektionen relevant: Erstens müssen kritische Schwachstellen wie ProxyNotShell sofort gepatcht werden – nicht irgendwann. Zweitens reichen einzelne Remediation-Maßnahmen nicht aus; Netzwerke müssen komplett bereinigt werden, einschließlich Passwort-Rotation. Drittens sollten Unternehmen ihre Logfiles genauer durchsuchen: Erfolgreiche Angreifer lassen Spuren, die Forensiker finden können. Das BSI bietet Leitfäden zur Härtung von Exchange-Installationen an – diese sollten als Mindeststandard gelten.

Ähnliche Artikel