Die Sicherheitsfirma Bitdefender dokumentierte eine mehrstufige Kampagne von Salt Typhoon gegen das Energieunternehmen in Aserbaidschan, die Anfang Dezember 2025 begann. Als strategischer Grund wird Aserbaidschans wachsende Bedeutung für die europäische Energiesicherheit identifiziert – ein Resultat der aufgelösten Gasversorgungsabkommen mit Russland und den Engpässen in der Straße von Hormus.
Die Attacksequenz folgte einem bewährten Muster: Die Angreifer exploitierten zunächst eine Microsoft-Exchange-Schwachstelle, genauer das ProxyNotShell-Exploitkettenverfahren, um Code auf Servern auszuführen. Anschließend wurden Web-Shells zur Errichtung eines persistenten Zugangs deponiert. Das Kernstück der Kampagne war die Deployment der aktualisierten Deed RAT (Remote Access Trojan) mittels DLL-Sideloading-Technik – versteckt in einem Ordner, der die legitime LogMeIn-Hamachi-Installation nachahmt.
Das Vorgehen war besonders adaptiv: Nach Entfernung der Malware von mindestens einem Host drangen die Angreifer erneut ein und setzten die TernDoor-Backdoor ein, eine weitere Salt-Typhoon-Variante. Im Februar versuchten sie abermals, Deed RAT zu deployieren. Bitdefender charakterisiert dies als “nachhaltige und adaptive Operation” über mehrere Angriffszyklen hinweg.
Parallel dokumentierte Darktrace zwischen September 2025 und April 2026 Kampagnen der APT-Gruppe Twill Typhoon (auch Bronze President, Mustang Panda) gegen Entitäten im asiatisch-pazifischen Raum. Die Gruppe setzte ein modernes, modulares .NET-basiertes RAT-Framework namens FDMTP ein, das über DLL-Sideloading aktiviert wird.
Bemerkenswert ist die Technik: Die kompromittierten Hosts kontaktierten Domains, die legitime CDNs (Yahoo, Apple) imitierten, um Binaries und .config-Dateien abzurufen – gefolgt von Malware-DLLs. Diese Vorgehensweise ist charakteristisch für chinesische APT-Kampagnen und ermöglicht es, Komponenten unabhängig voneinander zu aktualisieren oder zu ersetzen, was die Persistenz erhöht.
Das FDMTP-Framework unterstützt Systemfingerprinting, Befehlsausführung, Taskmanipulation, Registry-Persistenz, Prozessverwaltung und Dateiabruf. Darktrace warnt vor diesem verteilten Ansatz: Intrusions sind nicht auf einzelne Footholds angewiesen, sondern können sich über mehrere austauschbare Komponenten erstrecken.
Für deutsche Kritische Infrastrukturen – Energie, Telekommunikation, Finanzsektor – sind diese Erkenntnisse ein Signal erhöhter Aufmerksamkeit. Das BSI empfiehlt verstärkte Monitoring-Maßnahmen bei Microsoft-Exchange-Systemen und Kontrolle verdächtiger DLL-Sideloading-Aktivitäten. Unternehmen sollten Incident-Response-Pläne aktualisieren und regelmaßige Penetrationstests durchführen.