Die jüngste Angriffswelle, die der russische Sicherheitsanbieter Positive Technologies beschreibt, richtete sich Ende September 2025 gegen kirgisische Organisationen. Die Opfer erhielten Phishing-E-Mails mit einem Microsoft-Office-Dokument, das beim Öffnen zur Aktivierung des Inhalts auffordert, um ein schädliches Makro auszuführen. Während dem Opfer ein Tarifplan eines Telekommunikationsanbieters angezeigt wird, lädt das Makro im Hintergrund einen in C++ geschriebenen Loader namens LuciLoad nach, der wiederum LuciDoor ausliefert.
Ein weiterer Angriff Ende November 2025 folgte demselben Muster, verwendete jedoch einen anderen Loader namens MarsSnakeLoader, um MarsSnake einzuschleusen. Im Januar 2026 setzte UnsolicitedBooker erneut Phishing-E-Mails ein, diesmal gegen Unternehmen in Tadschikistan. Die Angriffskette blieb gleich, allerdings enthielten die Nachrichten Links zu den Köderdokumenten, statt sie direkt anzuhängen.
LuciDoor nimmt Verbindung zu einem Command-and-Control-Server auf, sammelt grundlegende Systeminformationen und überträgt die Daten verschlüsselt. Anschließend wertet die Backdoor die Antworten des Servers aus, um über cmd.exe Befehle auszuführen, Dateien zu schreiben und hochzuladen. MarsSnake ermöglicht den Angreifern auf ähnliche Weise das Auslesen von Systemdaten, das Ausführen beliebiger Befehle sowie das Lesen und Schreiben beliebiger Dateien.
Positive Technologies fand zudem Hinweise, dass MarsSnake auch bei Angriffen gegen China genutzt wurde. Ausgangspunkt ist hier eine Windows-Verknüpfung, die sich als Word-Dokument tarnt (*.doc.lnk) und über ein Batch-Skript ein Visual-Basic-Skript startet, das MarsSnake ohne Loader-Komponente ausführt. Die Köderdatei dürfte auf einer LNK-Datei des öffentlich verfügbaren Pentesting-Werkzeugs FTPlnk_phishing beruhen, da Erstellungszeit und Machine-ID übereinstimmen. Eine ähnliche LNK-Datei nutzte 2022 die Gruppe Mustang Panda bei Angriffen gegen Thailand.
“Zu Beginn nutzte die Gruppe eine von uns LuciDoor genannte Backdoor, wechselte später jedoch zu MarsSnake. 2026 vollzog sie eine Kehrtwende und setzte wieder LuciDoor ein”, so Positive Technologies. In mindestens einem Fall hätten die Angreifer einen gekaperten Router als C2-Server verwendet, und ihre Infrastruktur habe in einigen Angriffen die russische nachgeahmt.
Auf Anfrage erklärte ESET gegenüber The Hacker News, seit Mai 2025 keine neuen Kampagnen des Akteurs beobachtet zu haben. Dennoch stufe man UnsolicitedBooker mit hoher Zuversicht als China-nahe Cyberspionagegruppe ein, gestützt auf Taktiken, Opfermuster und nicht-öffentliche Daten. Ein Indiz sei der Einsatz bekannter Backdoors wie Chinoxy, Deed RAT, Poison Ivy und BeRAT, die unter mehreren China-nahen Gruppen geteilt werden. Laut Matthieu Faou, Senior Malware Researcher bei ESET, habe man in den vergangenen Jahren Angriffe auf Einrichtungen in Algerien, Belgien, Ägypten, Indien, der Mongolei, Saudi-Arabien und Taiwan beobachtet; typische Ziele seien Regierungsministerien, Telekommunikationsanbieter und Juristen.
