HackerangriffeMalwarePhishing

SideCopy-Gruppe attackiert afghanisches Finanzministerium mit Xeno RAT

Von CyberDeutsch Redaktion
SideCopy-Gruppe attackiert afghanisches Finanzministerium mit Xeno RAT
Zusammenfassung

Die Pakistan-verbundene Hackergruppe SideCopy führt gezielt Cyberangriffen auf Regierungsinstitutionen in Südafrika durch. Wie Sicherheitsforscher berichten, richtet sich eine aktuelle Kampagne namens Operation XENOFISCAL gegen Afghanistans Finanzministerium und regionale Finanz- sowie Einnahmebehörden. Die Angreifer nutzen dabei das Open-Source-Spyware-Tool Xeno RAT und setzen auf Spear-Phishing mit präzise formulierten, in Paschto-Sprache verfassten Ködern. Dies zeigt die hohe Spezialisierung der Cyberkriminellen auf ihr Zielumfeld. SideCopy operiert unter dem Dach der breiteren Hackerkollektive Transparent Tribe (APT36) und hat sich bereits bei Angriffen auf indische Ziele hervorgetan. Die Malware kann Daten stehlen, Screenshots erstellen, Tastaturanschläge protokollieren und ist schwierig zu erkennen. Für Deutschland und europäische Länder ist die Gruppe zwar weniger direkt relevant, doch zeigt das Vorgehen bewährte Angriffsmuster, die auch gegen hiesige Behörden und Unternehmen eingesetzt werden könnten. Deutsche Organisationen sollten ihre Cybersicherheit verstärken, besonders bei Phishing-Schutz und Remote-Access-Kontrollen.

Die Pakistan-verbundene SideCopy-Gruppe setzt ihre Kampagnen gegen südAsiatische Institutionen fort. Dieses Mal steht Afghanistans Finanzministerium im Visier – ein neuerliches Beispiel für regional fokussierte Cyberangriffe, die Sicherheitsexperten weltweit mit wachsender Sorge beobachten.

Die Angriffskette beginnt mit präzise ausgearbeiteten Phishing-E-Mails, die ZIP-Archive mit manipulierten LNK-Dateien enthalten. Diese Shortcut-Dateien tragen bewusst Pashto-Filennamen – ein psychologischer Trick, um Vertrauen bei Regierungsbeamten zu schaffen, die diese Sprache sprechen. Seqrite Labs-Forscher Dixit Panchal betont: Diese sprachliche Genauigkeit belegt tiefe Ortskenntnisse der Angreifer.

Technischer Ablauf der Infektion

Einmal ausgeführt, nutzt die LNK-Datei “mshta.exe”, um ein HTML Application (HTA) von einer kompromittierten afghanischen Bildungswebseite zu laden. Dies führt zur Ausführung von verschleiertem JavaScript im RAM. Der nächste Schritt: Eine DLL-basierte Loader-komponente installiert Xeno RAT 1.8.7 und platziert ein Köder-Dokument als Ablenkungsmittel. Zur Verschleierung der Persistenz nutzen die Angreifer Registry-Einträge, die Microsoft Edge imitieren.

Gefährliche RAT-Funktionen

Xeno RAT bietet das volle Arsenal einer Remote-Access-Malware: TCP-basierte Kommunikation mit C2-Servern, DLL-Modul-Ausführung, Datendiebstahl, Keylogging, Screenshot-Erfassung, Clipboard-Monitoring, Webcam- und Mikrofon-Zugriff sowie SOCKS5-Proxy-Tunneling. Die Malware ist damit ein vollwertiges Spionage-Werkzeug.

Breiteres Angriffsmuster

Die SideCopy-Kampagne reiht sich in ein größeres Bedrohungs-Cluster ein: Im April 2025 führte die Gruppe ähnliche Attacken gegen indische Ziele mit Xeno RAT, Spark RAT und CurlBack RAT durch. Parallel attackiert Transparent Tribe auch indische Militär-Infrastruktur mit Linux .desktop-Dateien – Kampagnen, die DeskRAT, einen Golang-basierten ELF-Implant, einschleusen.

Was das für Deutschland bedeutet

Die Attacke zeigt fortgeschrittene Techniken im Spear-Phishing und RAT-Einsatz, die auch europäische Institutionen mit sensiblen Aufgaben bedrohen könnten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht APT36/Transparent Tribe kontinuierlich und warnt Behörden vor ähnlichen Angriffsmustern. Für Unternehmen mit Afghanistan-Präsenz sind solche Erkenntnisse entscheidend für eine adäquate Sicherheits-Architektur.

Ähnliche Artikel