Die Hackergruppe UnsolicitedBooker hat ihre Angriffsziele verschoben und richtet sich nun gegen Telekommunikationsunternehmen in Kirgisistan und Tadschikistan. Die Gruppe nutzt zwei neue Backdoors namens LuciDoor und MarsSnake mit chinesischem Ursprung.
Die der chinesischen Regierung zugeordnete Bedrohungsgruppe UnsolicitedBooker hat ihre Angriffstaktik geändert und konzentriert sich nun auf Telekommunikationsanbieter in Kirgisistan und Tadschikistan – ein deutlicher Wechsel von früheren Operationen gegen Ziele in Saudi-Arabien.
Wie der russische Cybersicherheitsanbieter Positive Technologies in einem kürzlich veröffentlichten Bericht dokumentiert, setzt die Gruppe zwei neu entwickelte Backdoors ein: LuciDoor und MarsSnake. “Die Gruppe verwendete mehrere seltene und einzigartige Instrumente chinesischer Herkunft”, erklären die Forscher Alexander Badaev und Maxim Shamanov.
UnsolicitedBooker wurde erstmals im Mai 2025 vom Sicherheitsunternehmen ESET dokumentiert. Damals war die Gruppe mit einem Angriff auf eine internationale Organisation in Saudi-Arabien verantwortlich, bei dem die Backdoor MarsSnake zum Einsatz kam. Schätzungen zufolge ist die Gruppe mindestens seit März 2023 aktiv und hat sich auf Ziele in Asien, Afrika und dem Nahen Osten spezialisiert.
Die Angriffe folgen einem konsistenten Muster: Im September 2025 zielten Phishing-Emails mit manipulierten Microsoft-Office-Dokumenten auf kirgisische Organisationen ab. Beim Öffnen werden Nutzer aufgefordert, die Makrofunktion zu aktivieren. Das versteckte Makro lädt dann einen C++-Malware-Loader namens LuciLoad, der wiederum die Backdoor LuciDoor installiert. Ein ähnlicher Angriff im November 2025 nutzte denselben Mechanismus, setzte aber auf einen anderen Loader (MarsSnakeLoader) für die MarsSnake-Backdoor. Im Januar 2026 verschickte die Gruppe erneut Phishing-Emails gegen tadschikische Unternehmen – diesmal mit Links statt direkter Dateianhänge.
LuciDoor, komplett in C++ geschrieben, verbindet sich mit einem Command-and-Control-Server, sammelt Systeminformationen und übermittelt diese verschlüsselt. Die Backdoor kann Befehle über cmd.exe ausführen sowie Dateien lesen, schreiben und hochladen. MarsSnake bietet ähnliche Funktionalität: Systemdaten harvesting, beliebige Befehlsausführung und Dateizugriff.
Positive Technologies entdeckte zudem Hinweise auf MarsSnake-Einsätze in China. Dort nutzte die Gruppe manipulierte Windows-Shortcuts (*.doc.lnk), die sich als Word-Dokumente tarnen und Batch-Skripte sowie Visual Basic Scripts ausführen. Die LNK-Dateien zeigen Ähnlichkeiten mit dem Pentesting-Tool FTPlnk_phishing sowie früheren Angriffen der Gruppe Mustang Panda aus dem Jahr 2022.
“Interessanterweise wechselte die Gruppe zunächst von LuciDoor zu MarsSnake, kehrte aber 2026 wieder zu LuciDoor zurück”, berichtet Positive Technologies. “In mindestens einem Fall beobachteten wir, dass die Angreifer einen gehackten Router als C2-Server missbrauchten und ihre Infrastruktur teilweise Russland imitierte.”
ESET bestätigte auf Nachfrage, seit Mai 2025 keine neuen Kampagnen dieser Gruppe beobachtet zu haben. Das Unternehmen bewertet UnsolicitedBooker mit hoher Sicherheit als chinesische Cyber-Spionagegruppe. Ein Indiz ist die Verwendung bekannter chinesischer Backdoors wie Chinoxy, Deed RAT (Nachfolger von ShadowPad), Poison Ivy und BeRAT.
“Über mehrere Jahre hinweg haben wir beobachtet, wie die Gruppe Organisationen in verschiedenen Ländern angreift – darunter Algerien, Belgien, Ägypten, Indien, Mongolei, Saudi-Arabien und Taiwan”, sagt Matthieu Faou, Senior-Malware-Analyst bei ESET. “Typische Ziele sind Regierungsbehörden, Telekommunikationsanbieter und Anwaltskanzleien.”
Parallel zeigt sich ein neues Phänomen: Eine bislang unbekannte Gruppe namens PseudoSticky ahmt die Taktiken der pro-ukrainischen Hackergruppe Sticky Werewolf nach, um russische Organisationen mit RemcosRAT und DarkTrack RAT anzugreifen. PseudoSticky ist seit November 2025 aktiv und nutzt offenbar auch Large Language Models für die Entwicklung von Angriffsszenarien. “Es gibt keine Hinweise auf direkte Verbindungen zwischen den Gruppen, sondern vielmehr auf bewusste Imitation”, stellt der russische Sicherheitsanbieter F6 fest.
Auch die Hackergruppe Cloud Atlas hat russische Ziele mit phishing-basierten Word-Dokumenten attackiert und damit die Custom-Malware VBShower und VBCloud verbreitet. Das Unternehmen Solar dokumentierte, dass die Dokumente Remote-Templates von C2-Servern laden und die Schwachstelle CVE-2018-0802 ausnutzen – ein bewährtes Angriffsmuster mit neuer Infrastruktur.
Quelle: The Hacker News