Hochkarätige Organisationen in Süd-, Südost- und Ostasien sind Ziel einer breit angelegten Cyberespionage-Kampagne einer chinesischen Hackergruppe geworden. Die Sicherheitsfirma Palo Alto Networks Unit 42 hat die Aktivitäten der zuvor unbekannten Gruppe CL-UNK-1068 zugeordnet, die systematisch Ziele aus der Luftfahrt, Energiewirtschaft, Regierungsinstitutionen, Strafverfolgung, Pharmazie, Technologie und Telekommunikation angegriffen hat.
Nach Einschätzung der Sicherheitsexperten liegt die primäre Motivation dieser Kampagne mit hoher Wahrscheinlichkeit in Wirtschaftsspionage. “Unsere Analyse zeigt ein vielfältiges Arsenal aus Custom-Malware, modifizierten Open-Source-Tools und legitimen Windows-Systemtools”, erklärte Sicherheitsforscher Tom Fakterman. “Diese Kombination ermöglicht es den Angreifern, dauerhaft in den Zielnetzwerken präsent zu bleiben.”
Das Arsenal umfasst bekannte Schadsoftware wie Godzilla und ANTSWORD (Web-Shells), den Linux-Backdoor Xnote sowie den Reverse-Proxy Fast Reverse Proxy (FRP) – alles Tools, die bereits von verschiedenen chinesischen Hackergruppen eingesetzt wurden.
Die typischen Angriffsketten beginnen mit der Ausnutzung von Web-Server-Schwachstellen, um Web-Shells einzuschleusen und sich lateral in anderen Systemen auszubreiten. Anschließend versuchen die Angreifer, gezielt Dateien mit bestimmten Endungen (“web.config”, “.aspx”, “.asmx”, “.asax”, “.dll”) aus dem “c:\inetpub\wwwroot”-Verzeichnis zu kopieren – vermutlich um Anmeldedaten oder Sicherheitslücken aufzuspüren.
Weitere Ziele der Datenabfischtätigkeit sind Browserverlauf und Lesezeichen, Excel- und CSV-Dateien von Desktops sowie Datenbankbackups von MS-SQL-Servern. Die Angreifer zeigen dabei bemerkenswerte Kreativität: Sie packen die Dateien mit WinRAR, codieren die Archive in Base64 und geben den codierten Inhalt über die Web-Shell aus – eine Methode, die die Dateiübertragung verschleiert.
Ein weiteres raffiniertes Verfahren ist der Missbrauch von legitimen Python-Ausführungsdateien für DLL-Side-Loading-Angriffe. Damit können die Angreifer bösartige DLLs wie FRP, PrintSpoofer und den Custom-Scanner ScanPortPlus unauffällig ausführen.
CL-UNK-1068 nutzt auch Aufklärungsinstrumente wie das Custom-Tool SuperDump (bereits seit 2020 beobachtet) oder neuere Batch-Skripte zur Systemerfassung und Netzwerkkartierung.
“Mit Hilfe von Open-Source-Tools, öffentlich verfügbarer Malware und Batch-Skripten hat die Gruppe es geschafft, ihre Operationen verborgen zu halten, während sie gleichzeitig in kritische Organisationen eindringt”, fasst Unit 42 zusammen. “Während die Fokussierung auf Credential-Theft und Datenabfischtätigkeit bei kritischen Infrastrukturen und Regierungsbehörden stark auf Spionageabsichten hindeutet, können wir kriminelle Motive noch nicht vollständig ausschließen.”