Die von Unit 42 detailliert dokumentierte Kampagne besticht durch ihre methodische Vorgehensweise und technische Raffinesse. Die Angreifer zeigen eine außergewöhnliche strategische Geduld – sie infiltrierten Ziele, hielten sich monatelang dormant im Netzwerk auf und konzentrierten sich dabei ausschließlich auf präzise Informationsbeschaffung statt auf destruktive Aktionen. Dies ist ein klassisches Merkmal hochentwickelter staatlicher Cyberespionage.
Der Infektionsablauf beginnt mit verdächtiger PowerShell-Ausführung, die sich für sechs Stunden in einen Ruhezustand versetzt, bevor sie Reverse Shells zu einem C2-Server (Command-and-Control) der Angreifer etabliert. Der initiale Zugangsvektor bleibt bislang ungeklärt. Nach der Lateral Movement folgt die Deployment von AppleChris in verschiedenen Versionen – ein Design, das Signatur-basierte Erkennungssysteme umgehen soll.
Besonderes Augenmerk richteten die Angreifer auf Dateien zu militärischen Organisationsstrukturen, C4I-Systemen (Command, Control, Communications, Computers, Intelligence) und Operationsfähigkeiten. AppleChris und MemFun greifen auf kompromittierte Pastebin-Accounts zu, um die eigentliche C2-Adresse in Base64-kodierter Form abzurufen – eine Technik, die auf Pastebin-Pastes aus September 2020 zurückgeht. Eine AppleChris-Variante nutzt zusätzlich Dropbox als Fallback-Option.
Die Malware wird mittels DLL-Hijacking gestartet und kommuniziert dann mit dem C2-Server, um Befehle zum Enumerieren von Laufwerken, Auflisten von Verzeichnissen, Datei-Upload/Download/Löschung, Prozessaufzählung und Remote-Shell-Ausführung zu empfangen. MemFun stellt eine Weiterentwicklung dar: Sie nutzt eine Multi-Stage-Chain mit Shellcode-Injection, In-Memory-Downloader und modularem Aufbau, was den Angreifern ermöglicht, verschiedene Payloads zu liefern, ohne die Infrastruktur zu verändern.
Zum Umgehen automatisierter Sicherheitssysteme setzen die Malware-Varianten Sandbox-Evasion-Taktiken ein – Schlaf-Timer von 30 Sekunden (EXE) und 120 Sekunden (DLL) überdauern typische Monitoring-Fenster automatisierter Sandboxen. MemFun führt zudem Anti-Forensik-Checks durch und nutzt Process-Hollowing mit “dllhost.exe”, um unter dem Deckmantel eines legitimen Windows-Prozesses zu operieren.
Zusätzlich kommt eine Custom-Version von Mimikatz namens Getpass zum Einsatz, die Privilege-Escalation durchführt und Plaintext-Passwörter, NTLM-Hashes und Authentifizierungsdaten aus dem “lsass.exe”-Speicher extrahiert. Die Gesamtoperation zeigt ein Bedrohungsakteur mit außergewöhnlicher operationaler Geduld und Sicherheitsbewusstsein – Attribute, die auf einen staatlichen Akteur mit umfangreichen Ressourcen deuten und die Langlebigkeit dieser Kampagne unterstreichen.