HackerangriffePhishingCyberkriminalität

SideCopy-Kampagne zielt auf afghanische Finanzbehörden ab – XenoRAT als Spionage-Werkzeug

Von CyberDeutsch Redaktion
SideCopy-Kampagne zielt auf afghanische Finanzbehörden ab – XenoRAT als Spionage-Werkzeug
Zusammenfassung

Eine mutmaßlich mit Pakistan verbundene Hackergruppe hat Afghanistan's Finanzministerium und Beamte der Provinzregierungen in einer neuen Spionagekampagne ins Visier genommen. Die indische Cybersicherheitsfirma Seqrite attributiert die Operation mit mittlerer bis hoher Sicherheit der Gruppe SideCopy, die weithin mit Pakistan verknüpft ist und für die Ausrichtung auf Regierungs-, Militär- und Diplomaten in Südasien bekannt ist. Die Angreifer nutzten Phishing-E-Mails mit manipulierten ZIP-Archiven, die als interne Regierungsdokumente getarnt waren und XenoRAT, einen Remote-Access-Trojaner mit Spionagefähigkeiten, installiert haben. Besonders bemerkenswert ist, dass die Malware über kompromittierte afghane Bildungsserver verbreitet wurde, was den Angreifern half, ihren Datenverkehr zu verschleiern. Die Operation zielt speziell auf Finanzbeamte in Pashto-sprechenden Regionen ab. Für deutsche Nutzer und Unternehmen bietet dieser Fall wichtige Lektionen zur Phishing-Abwehr und zur Bedeutung von Cybersicherheit in Regierungsinstitutionen. Er unterstreicht zudem, wie strategische Cyberangriffe zur wirtschaftlichen und politischen Destabilisierung eingesetzt werden können.

Die Cyberespionage-Kampagne nutzte eine bewährte Taktik: Phishing-E-Mails mit ZIP-Archiven, die eine scheinbar legitime Regierungsdokumentation enthielten. Der Dateiname war dabei besonders tückisch – auf Paschtunisch formuliert, suggerierte er eine Liste von Mitarbeitern, die an einem Seminar zu intellektueller und psychologischer Kriegsführung teilgenommen hätten. Diese sprachliche Anpassung war keineswegs zufällig, sondern Ergebnis vorheriger Aufklärung durch die Angreifer, wie Seqrite-Forscher vermuteten.

Besonders raffiniert war die Infrastruktur-Wahl: Die Angreifer nutzten Server der afghanischen Regierung selbst, um ihre Malware zu verbreiten. Dies ermöglichte es ihnen, ihren Datenverkehr mit legitimen staatlichen Kommunikationen zu verschmelzen und netzwerk-basierte Erkennungssysteme zu umgehen. Die genaue Methode, wie SideCopy Zugriff auf diese Behördenserver erhielt, blieb ungeklärt.

Sobald Opfer die vermeintliche Dokumentation öffneten, installierte sich XenoRAT stillschweigend im Hintergrund – ein Open-Source-Fernzugriffs-Trojaner, der Angreifern langfristigen Systemzugriff ermöglicht. Das Malware-Netzwerk verband sich dann mit europäischen Servern unter Kontrolle der Attacker, was fortlaufende Spionage und weitere Malware-Installation ermöglichte.

Ziel der Operation waren nicht nur Mitarbeiter des Finanzministeriums, sondern auch Provinz-Finanzämter und Paschtunisch sprechende Beamte. Die Spezifität der Kampagne deutet auf systematische Aufklärungsarbeit hin – ein Zeichen professioneller staatlicher Cyberespionage.

SideCopy operiert mindestens seit 2019 und wird häufig mit APT36 (auch Transparent Tribe genannt) assoziiert, einer Gruppe mit Pakistan-Verbindungen. 2024 beobachtete Seqrite bereits eine Modernisierung des Malware-Arsenals dieser Gruppe.

Auch andere Angreifer zielten auf afghanische Behörden ab: Im Januar 2024 wurden Regierungsmitarbeiter mit Phishing-E-Mails angegriffen, die als Korrespondenz des Premierministers getarnt waren und die Daten-Stealer-Malware FalseCub verbreiteten. Diese Operation blieb unattribuiert.

Für deutsche Institutionen ist die Kampagne ein Lehrstück: Sprachlich angepasste, auf Aufklärung basierende Phishing-Angriffe sind schwer zu erkennen. Das BSI empfiehlt erhöhte Wachsamkeit bei unerwarteten Dokumenten, sichere E-Mail-Gateways und regelmäßige Sicherheitsschulungen.

Ähnliche Artikel