Die FamousSparrow-Gruppe nutzte eine ausgefeilte Sideloading-Technik für Dynamic Link Libraries (DLLs), um Sicherheitsmaßnahmen zu umgehen und Fernzugriffswerkzeuge zu installieren. Die operativen Technologienetze (OT-Netzwerke) wurden nach Angaben der Forscher nicht kompromittiert.
Martin Zugec, Technical Solutions Director bei Bitdefender, betont die Bedeutung dieser Entwicklung: “China-ausgerichtete APTs drängen in Russlands traditionelle Einflusssphäre vor.” Dies ist die erste bekannte Infiltration einer chinesischen Gruppe in aserbaidschanische Industrieunternehmen. Die südkaukasische Region, bestehend aus Armenien, Aserbaidschan und Georgien, hat sich zu einem kritischen Energiekorridor für die EU entwickelt. Die Gasexporte aus dieser Region sind in den letzten fünf Jahren um 56 Prozent gestiegen.
Die technische Analyse der Angriffe zeigt bemerkenswerte Weiterentwicklungen: FamousSparrow setzte einen zweistufigen Mechanismus für das DLL-Sideloading ein und modifizierte das Deed RAT Remote Access Tool. Die neue Technik verbirgt die Payload hinter einem spezifischen Ausführungspfad, was Analysen und Sandbox-Erkennung deutlich erschwert. Wie Zugec erklärt: “Die bösartige Bibliothek bereitet nur das Staging vor, ohne zu executieren. Wenn die legitime Anwendung lädt, werden die Puzzle-Teile zusammengesetzt — einzeln betrachtet zeigt sich kein böses Verhalten.”
FamousSparrow wurde 2021 erstmals vom Sicherheitsunternehmen ESET entdeckt und hat seitdem Hotels, Regierungsbehörden und Finanzinstitutionen in Nordamerika, Europa, Südamerika und dem Nahen Osten angegriffen. Die Operationen in Aserbaidschan markieren ein neues geografisches Schwerpunkt.
Besonders bemerkenswert ist die Tatsache, dass sich diese Angriffe hätten verhindern lassen: Das betroffene Unternehmen entdeckte die Infiltration zwar auf einzelnen Workstations, behob aber nicht die Grundursache — einen anfälligen Microsoft Exchange Server. FamousSparrow führte daraufhin zwei weitere erfolgreiche Angriffsserien durch.
Bitdefender-Experten beobachten außerdem ein zentralisiertes Wissensnetzwerk innerhalb der chinesischen APT-Landschaft: Sobald eine Gruppe eine neue Technik entwickelt, propagiert diese sich schnell zu anderen China-gekoppelten Gruppen. Dies deutet auf eine Art digitales Logistik-Zentrum hin, das Methoden und Tools koordiniert.
Das Fazit ist ernüchternd und zugleich ermutigend: Grundlegenden Sicherheitspraktiken — regelmäßiges Patching kritischer Systeme, vollständige Incident-Analyse und Beseitigung von Root-Cause-Problemen — hätten diesen Angriff verhindert. Deutschen Unternehmen sei ans Herz gelegt, solche Basics nicht zu unterschätzen.