Palo Alto Networks ordnet die aktuellen Operationen einer chinesischsprachigen Gruppe zu, die die Unit 42-Forscher als CL-STA-1062 bezeichnen. Nach Einschätzung des Unternehmens handelt es sich mit hoher Wahrscheinlichkeit um denselben Akteur, den Cisco Talos zuvor als UAT-7237 beschrieben hatte und der taiwanische Ziele angegriffen haben soll. Welche Länder von den jüngsten Angriffen betroffen waren, nannte Palo Alto Networks nicht.
Laut Yoni Allon nutzte die Gruppe seitliche Bewegung, um in einzelnen Ländern mehrere Behörden oder verbundene Organisationen ins Visier zu nehmen. Palo Alto Networks untersuchte insgesamt mehr als zehn Angriffe auf Organisationen in Südostasien. In einem Fall stand ein Opfer über viele Monate unter Beschuss; die Angriffskette reichte vom Erstzugang bis zur Datenabflusssphase und verlagerte sich von einer Regierungsstelle zu einer anderen im selben Land.
Zentrales neues Werkzeug der Gruppe ist TinyRCT. Palo Alto Networks entdeckte das Implantat nach eigenen Angaben erstmals 2025. Die Forscher beschreiben es als klein und unauffällig, mit Funktionen zur Erschwerung von Analysen. Dazu gehört auch ein Selbstzerstörungsmechanismus, der forensische Spuren löschen soll. Die Backdoor dient dazu, Nutzer des Systems auszuspähen, die Systeme aus der Ferne zu verwalten, Befehle über die Shell auszuführen, Konfigurationen zu aktualisieren sowie Systemmerkmale zu erfassen und Daten abzuziehen.
Allon sagte, eine eingehende Analyse habe ergeben, dass TinyRCT weder ein Ableger eines bekannten Werkzeugs sei noch nennenswerte Code-Ähnlichkeiten zu anderen Werkzeugen aus dem Umfeld chinesischer APT-Gruppen aufweise. Zudem sei es darauf ausgelegt, Sandboxes und andere Analysewerkzeuge durch verschiedene Gegenmaßnahmen zu umgehen. Wenn Anzeichen für eine Entdeckung oder eine aktive Untersuchung vorliegen, können die Betreiber laut Allon einen Selbstzerstörungsbefehl senden.
Technisch handelt es sich bei TinyRCT um einen leichtgewichtigen Remote-Access-Trojaner in C#, der beliebige Befehle ausführen kann. Im Code zum Parsen der Kommando-und-Kontroll-Kommunikation fanden die Forscher einen Kommentar in vereinfachtem Chinesisch. Um unauffällig zu bleiben, tragen die Backdoor und weitere Komponenten Dateinamen, die gängigen Systembestandteilen ähneln. TinyRCT tarnt sich als PerfWatson2.exe, also als echte Telemetrie-Komponente von Visual Studio. Ein weiteres in den Angriffen verwendetes Werkzeug, SoftEther VPN, wurde mit umbenannten Binärdateien eingesetzt, die wie VMware-Programme oder ein XDR-Agent aussehen sollen.
Ob CL-STA-1062 als Teil einer Spionageoperation agiert oder komplette Angriffsketten eigenständig ausführt, ist laut Unit 42 offen. In manchen Fällen endeten die Aktivitäten laut Allon nach dem Erlangen des Zugangs und der Erfassung der lokalen Umgebung. Die Forscher beobachteten nach eigener Aussage keinen Abfluss von strombezogenen Daten und auch keine Schadsoftware, die sich speziell gegen Stromsysteme oder Betriebstechnologie richtet. Das sei ein Grund für die Einschätzung mit geringer Sicherheit, dass CL-STA-1062 möglicherweise als Initial-Access-Broker agiert und Zugänge für andere Gruppen vorbereitet.
Nach Angaben von Palo Alto Networks liefen die Operationen in diesem Jahr weiter. In einem Fall wurden bei einem Opfer aus dem Bereich kritische Infrastruktur zusätzliche Werkzeuge installiert, um die Persistenz zu sichern. Insgesamt sei das Aktivitätsniveau jedoch gesunken. Allon sagte, Palo Alto Networks habe nicht mehr dieselbe Zahl neuer Kompromittierungen beobachtet wie gegen Ende 2025. Das könne entweder auf geringere Aktivitäten hindeuten oder darauf, dass die Gruppe ihre Fähigkeit verbessert habe, unentdeckt zu bleiben.
