Chinesische Bedrohungsakteure verändern ihre regionale Strategie: Nur wenige Tage nach dem massiven US-israelischen Luftschlag gegen den Iran wurden mehrere Ziele in Katar attackiert. Das zeigt, wie schnell china-gestützte APT-Gruppen ihre Prioritäten an geopolitische Entwicklungen anpassen können.
Check Point Software hat mindestens zwei separate Angriffskampagnen dokumentiert, die speziell auf katarische Institutionen abzielten. Die berüchtigte Hackergruppe Camaro Dragon versuchte dabei, eine Variante der PlugX-Malware einzuschleusen. Parallel setzte ein zweiter Angreifer auf Cobalt Strike – ein Penetrationstesting-Tool, das über DLL-Hijacking verbreitet wurde. Beide Taktiken sind klassisch für chinesische Akteure.
Die Besonderheit: Während China-gestützte Gruppen normalerweise den Golfraum vernachlässigen, zielten sie dieses Mal gezielt auf Katar ab. Dies signalisiert eine deutliche Verschiebung in der Zielausrichtung. Die strategische Position Katars – mit US-Militärstützpunkten und wirtschaftlichen Interessen mehrerer regionaler und globaler Mächte – macht das Land plötzlich zum wertvollen Ziel für chinesische Spionage.
Bei der Camaro-Dragon-Kampagne disguisierten sich die Angreifer besonders raffiniert: Ein bösartiges Archiv präsentierte sich als Fotosammlung von Angriffen auf amerikanische Basen in Bahrain. Eine darin versteckte LNK-Datei startete eine ungewöhnlich lange Infektionskette. Das System kontaktierte einen kompromittierten Server, um die nächste Malware-Stufe zu laden. Letztendlich missbrauchte die Attacke DLL-Hijacking einer legitimen Baidu-NetDisk-Binärdatei, um PlugX einzuschleusen.
PlugX ist keine neue Malware – seit mindestens 2008 gehört das modulare Backdoor-System zum Arsenal chinesischer Hackergruppen. Die Architektur des Plug-in-basierten Systems ermöglicht umfangreiche Post-Compromise-Aktivitäten: Dateiexfiltration, Bildschirmaufnahmen, Tastaturlogging und Remote-Befehle. Zwar gelang dem FBI vor kurzem noch die Löschung von PlugX auf Tausenden Geräten weltweit, doch die aktuelle Nutzung zeigt: Die Malware ist längst nicht besiegt.
Die zweite beobachtete Kampagne war nicht weniger durchdacht. Ein mit Passwort geschütztes Archiv namens „Strike at Gulf oil and gas facilities.zip” sollte Kataris per E-Mail erreichen. Das Archiv deponierte am Ende Cobalt Strike und diente der Netzwerkerkundung. Besonders kreativ waren die Angreifer bei den Ködern: Sie nutzten schlecht generierte KI-Bilder, die israelische Regierungsbeamte darstellen sollten. Dahinter verbarg sich ein neuer, in Rust geschriebener Loader, der das NVDA-Komponente nvdaHelperRemote.dll missbrauchte – ein DLL-Hijacking-Ansatz, der bislang nur in wenigen chinesischen Kampagnen dokumentiert ist.
Die Attacken belegen ein beunruhigendes Muster: China-gestützte Akteure reagieren blitzschnell auf geopolitische Umbruch. Die regionale Eskalation im Nahen Osten scheint für Peking ein willkommenes Fenster für Geheimdienstoperationen zu öffnen. Der Iran selbst hatte bereits in den ersten Kriegstagen mit massiven Cyberangriffen reagiert – nun gesellen sich weitere Spieler mit regionalen Interessen hinzu.
Für Organisationen wird die Lage brenzlig: Experten rechnen damit, dass die Angriffswelle massiv zunehmen wird, besonders in den USA. Als Gegenmaßnahmen empfehlen Sicherheitsfachleute, Endpoint Detection & Response-Systeme (EDR) zu verstärken, Mehrfaktor-Authentifizierung (MFA) konsequent einzuführen und andere Basis-Sicherheitsmaßnahmen zu verhärten. Check Point hat Indikatoren für Kompromittierungen (IoCs) veröffentlicht, um Verteidigern bei der Erkennung dieser Attacken zu helfen.