Sicherheitsforschern von Palo Alto Networks’ Unit 42 ist eine bislang unbekannte chinesische Hackergruppe aufgefallen, die über Jahre hinweg gezielt kritische Infrastruktur in Asien angegriffen hat. Die als CL-UNK-1068 katalogisierte Bedrohungsgruppe hat seit mindestens 2020 Organisationen aus den Bereichen Luftfahrt, Energie, Regierung, Strafverfolgung, Pharmazie, Technologie und Telekommunikation in Süd-, Südost- und Ostasien ins Visier genommen.
Die Angreifer verschaffen sich zunächst Zugang durch die Ausnutzung von Web-Server-Schwachstellen und das Einschleusen verschiedener Web-Shells, darunter die bekannte GodZilla Web Shell und eine Variante von AntSword. Von diesem initialen Fuß im System aus führen die Angreifer laterale Bewegungen durch und penetrieren weitere Hosts sowie SQL-Server.
Die Hackergruppe besticht durch ihre Flexibilität: Sie operiert sowohl in Windows- als auch in Linux-Umgebungen und passt ihre Werkzeugpalette jeweils an das Betriebssystem an. Unit 42 vermutet, dass CL-UNK-1068 von der chinesischen Regierung unterstützt wird, basierend auf sprachlichen Hinweisen, der Herkunft der Werkzeuge und dem konsistenten, langfristigen Fokus auf asiatische Infrastruktur.
Nach der Kompromittierung eines Systems führen die Angreifer Aufklärung und Eskalation von Privilegien durch. Zur Diebstahl von Zugangsdaten setzen sie Tools wie Mimikatz – zur Passwort-Extraktion aus dem Speicher – und LsaRecorder ein. Zusätzlich nutzen sie DumpIt kombiniert mit dem Volatility Framework, um Password-Hashes zu extrahieren. Ein weiteres Spezialwerkzeug ist ScanPortPlus, ein in Go entwickeltes Netzwerk-Scanning-Tool mit Windows- und Linux-Versionen.
Um ihre Präsenz zu wahren und Entdeckung zu vermeiden, nutzt CL-UNK-1068 ausgefeilte Verstecktechniken. Besonders hervorzuheben ist das DLL-Sideloading durch legitime Python-Ausführungsdateien, das es ermöglicht, bösartige Code unter vertrauten Prozessen auszuführen. Für Command-and-Control-Zugriff und zum Umgehen von Netzwerkkontrollen setzt die Gruppe modifizierte Versionen von Fast Reverse Proxy (FRP) und gelegentlich den Xnote Linux-Backdoor ein.
Obwohl Unit 42 keine definitive Identifikation vornehmen konnte, erinnern einige Taktiken an die gefürchtete chinesische APT Salt Typhoon, die über längere Zeit unentdeckt mindestens neun amerikanische Telekommunikationskonzerne infiltrierte. Allerdings unterhält China zahlreiche staatliche Akteure, die im Namen des Landes Spionage und finanziell motivierte Kampagnen durchführen.
Zum Schutz vor solchen Advanced Persistent Threats empfiehlt Unit 42 Sicherheitsteams, auf verdächtige Verhaltensmuster zu achten. Zu den Warnsignalen für CL-UNK-1068-Aktivitäten gehören der Missbrauch legitimer Python-Binaries, der Einsatz von Tunneling-Tools wie FRP, die Ausführung von maßgeschneiderten Aufklärungs-Scripts und der Einsatz von Credential-Dumping-Tools wie Mimikatz. Organisationen sollten zudem auf ungewöhnliche RAR-Komprimierung und Base64-Kodierung achten, ihre Internet-zugänglichen Web-Server härten und Web-Shell-Deployments überwachen.