HackerangriffeCyberkriminalitätSchwachstellen

Chinesische Hackergruppe spioniert südostasiatische Militärs seit Jahren aus

Chinesische Hackergruppe spioniert südostasiatische Militärs seit Jahren aus
Zusammenfassung

Militärische Organisationen in Südostasien sind seit mindestens 2020 Ziel einer chinesischen Cyberespionagekampagne, wie Sicherheitsforscher von Palo Alto Networks berichten. Die staatlich unterstützte Hackergruppe CL-STA-1087 hat mit beeindruckender Geduld operiert und blieb über Monate hinweg unentdeckt in kompromittierten Systemen aktiv. Die Angreifer setzten spezialisierte Malware wie die Backdoors AppleChris und MemFun sowie den Credential-Stealer Getpass ein und durchsuchten gezielt nach sensiblen Dokumenten zu militärischen Fähigkeiten, Organisationsstrukturen und Zusammenarbeit mit westlichen Streitkräften. Obwohl die Kampagne primär südostasiatische Ziele betrifft, demonstriert sie das beachtliche technische Geschick und die Ressourcen chinesischer APT-Gruppen. Für Deutschland und europäische Verbündete ist dies ein warnender Hinweis: Ähnliche Techniken könnten gegen deutsche Behörden, Rüstungsunternehmen und kritische Infrastruktur eingesetzt werden. Deutsche Unternehmen mit militärischer oder geheimdienstlicher Relevanz sollten ihre Cybersecurity-Maßnahmen überprüfen und besonders auf lang andauernde, versteckte Kompromittierungen achten, die dieser geduldig operierenden Gruppe charakteristisch sind.

Die Cyberespionage-Kampagne der chinesischen Hackergruppe CL-STA-1087 offenbart ein hochprofessionelles Vorgehen mit klaren strategischen Zielen. Palo Alto Networks dokumentierte, wie die Angreifer über längere Zeiträume hinweg Zugang zu kompromittierten Umgebungen behalten, dann aber gezielt nach militärisch relevanten Informationen suchen. Das Besondere an dieser Operation ist die Geduld der Akteure: Sie können Monate untätig bleiben, um nicht aufzufallen, und aktivieren ihre Malware dann zu strategisch günstigen Zeitpunkten wieder.

Die eingesetzte Malware-Arsenal zeigt hohe technische Qualität. Die AppleChris-Backdoor existiert in mehreren Varianten und nutzt Dropbox sowie Pastebin als Zwischenspeicher für Command-and-Control-Befehle (C&C). Eine neuere Version setzt auf fortgeschrittene Netzwerk-Proxy-Funktionen. Die MemFun-Malware arbeitet mehrstufig und nutzt reflektives DLL-Loading für die Ausführung. Mit Getpass verfügt die Gruppe über eine spezialisierte Variante von Mimikatz, die gezielt zehn Windows-Authentifizierungspakete angreift, um Anmeldedaten zu stehlen.

Die Angreifer gingen systematisch vor: Nach dem initialen Zugriff – dessen Vektor noch ungeklärt ist – verwendeten sie PowerShell-Scripts, um Reverse-Shells aufzubauen. Danach infiltrierten sie mittels WMI und Windows .NET-Commands Domain Controller, Webserver, IT-Workstations und Executive-Systeme. Zur Persistierung erstellten sie neue Services und platzerten Malware-DLLs im System32-Verzeichnis, wobei sie DLL-Hijacking-Techniken ausnutzten.

Besonders interessant ist die geografische Zuordnung: Die operativen Aktivitäten der Gruppe folgen einem UTC+8-Zeitzone-Muster, das typischen chinesischen Bürozeiten entspricht. Das Ziel von militärischen Organisationen in Südostasien, die Verwendung chinesischer Cloud-Infrastruktur und vereinfachtes Chinesisch auf Login-Seiten deuten auf eine Operationsbasis in China hin.

Die Kampagne läuft bereits seit mindestens 2020 – Palo Alto Networks bestätigt dies durch Compilation-Timestamps der Malware und Erstellungsdaten auf Pastebin. Die Forscher verzeichneten, dass die Gruppe weiterhin ihre Dropbox-Accounts mit aktualisierter Infrastruktur bestückt und damit eine kontinuierliche Bedrohung darstellt. Dies unterstreicht, wie wichtig proaktive Bedrohungserkennung und schnelle Incident-Response-Fähigkeiten für Organisationen mit strategischem Wert sind.

Ähnliche Artikel