Check Point Research beobachtete nach eigenen Angaben mindestens zwei separate Bedrohungsakteure, die Einrichtungen in Katar mit konfliktbezogenen Ködern ins Visier nahmen. Diese seien gezielt darauf zugeschnitten gewesen, sich in das schnelllebige Kommunikationsumfeld der Region einzufügen und als legitime Nachrichten zu erscheinen. Beide Angriffe nutzten Inhalte zum Iran-Konflikt als Köder für schädliche E-Mails.
Die Camaro Dragon zugeschriebene Attacke lieferte ein schädliches Archiv aus, das als Fotos von Angriffen auf amerikanische Stützpunkte in Bahrain getarnt war. Beim Ausführen stößt eine LNK-Datei aus dem Archiv laut Check Point eine “ungewöhnlich lange Infektionskette” an, die einen kompromittierten Server kontaktiert, um die nächste Stufe der Schadsoftware nachzuladen. Schließlich missbrauchte der Angriff DLL-Hijacking einer legitimen Binärdatei von Baidu NetDisk, um die Backdoor PlugX zu installieren.
PlugX ist eine modulare Malware, die seit mindestens 2008 mit mehreren China-nahen Akteuren in Verbindung gebracht wird. Das FBI erklärte kürzlich, es habe PlugX im Rahmen einer kooperativen Aktion von Tausenden Geräten weltweit erfolgreich entfernt; der aktuelle Einsatz zeigt jedoch, dass die Schadsoftware weiterhin verwendet wird. Ihre Plug-in-basierte Architektur ermöglicht Fernzugriff und zahlreiche Funktionen nach der Kompromittierung, darunter Datenabfluss, Bildschirmaufnahmen, das Mitschneiden von Tastatureingaben und die Ausführung von Befehlen aus der Ferne.
Eine separate Kampagne richtete sich gegen katarische Einrichtungen mit einem passwortgeschützten Archiv namens “Strike at Gulf oil and gas facilities.zip”, das wahrscheinlich per E-Mail zugestellt wurde. Als finale Schadsoftware bringt das Archiv Cobalt Strike aus, das für Netzwerkaufklärung und weitere schädliche Aktivitäten genutzt wird.
Diese Kampagne setzte laut Check Point auf minderwertige, KI-generierte Köder, die die israelische Regierung imitierten, um einen bislang unbekannten, in Rust geschriebenen Loader auszuliefern. Dieser nutzt DLL-Hijacking von nvdaHelperRemote.dll aus, einer Komponente des quelloffenen Screenreaders NVDA. Der Missbrauch dieser Komponente sei zuvor nur in wenigen China-nahen Kampagnen beobachtet worden, darunter eine Aktion zur Auslieferung der Voldemort-Backdoor sowie eine Angriffswelle gegen die Philippinen und Myanmar im Jahr 2025.
Nach Einschätzung von Check Point könnte der nahezu unmittelbare Fokus auf Katar nicht nur opportunistische Informationsbeschaffung im Zuge der Regionalkrise widerspiegeln, sondern auch eine breitere Verschiebung der Aufklärungsprioritäten hin zu einem Staat, der sich an der Schnittstelle mehrerer konkurrierender regionaler und globaler Mächte befindet. Zur Abwehr empfiehlt Check Point unter anderem die Stärkung bestehender Schutzmechanismen wie EDR-Systeme und den Einsatz von Mehr-Faktor-Authentifizierung; der Blogbeitrag enthält zudem Kompromittierungsindikatoren (IoCs) zu den konkreten Angriffen auf katarische Ziele.
