HackerangriffeSchwachstellenDatenschutz

Chinesische Hacker Jahre lang in südostasiatischen Militärnetzwerken aktiv

Chinesische Hacker Jahre lang in südostasiatischen Militärnetzwerken aktiv
Zusammenfassung

Chinesische Cyberespionage-Kampagne in Südostasien aufgedeckt: Sicherheitsforscher von Palo Alto Networks haben eine umfangreiche Cyberattacke auf Militärorganisationen in Südostasien dokumentiert, die mit moderater Sicherheit chinesischen staatlichen Akteuren zugeordnet wird. Die Kampagne, die unter der Bezeichnung CL-STA-1087 bekannt ist, läuft bereits seit mindestens 2020 und zeichnet sich durch beeindruckende operative Geduld und hochgradig spezialisierte Intelligenzsammlung aus. Die Angreifer entwickelten neuartige Malware wie die Backdoors "AppleChris" und "MemFun" und nutzen legitime Dienste wie Pastebin und Dropbox als Kommando-und-Kontroll-Infrastruktur. Während die Kampagne primär südostasiatische Militärbehörden betroffen hat, zeigt sie ein besorgniserregendes Muster für deutsche Unternehmen und Behörden: Die steigende Missbrauchswelle legitimer Cloud- und Web-Dienste für Cyberangriffe betrifft auch europäische Organisationen. Deutsche Unternehmen und Behörden sollten daher ihre Sicherheitsrichtlinien überprüfen, den Zugriff auf unkontrollierte Cloud-Dienste beschränken und ihre Überwachungsmechanismen verstärken, um ähnliche zielgerichtete Angriffe frühzeitig zu erkennen.

Die Sicherheitsexperten von Palo Alto Networks’ Unit 42 haben Details zu einer umfangreichen Cyberespionagekampagne gegen militärische Einrichtungen in Südostasien veröffentlicht. Die Kampagne, intern als CL-STA-1087 bezeichnet, wurde erstmals durch verdächtige PowerShell-Aktivitäten in einem Netzwerk entdeckt, die von neu installierten Agenten der Cortex-XDR-Plattform registriert wurden.

Die Analyse ergab, dass die Angreifer mindestens seit 2020 unentdeckten Zugriff hatten. Besonders bemerkenswert ist der technische Aufwand, den die Attackanten betrieben: Sie entwickelten neuartige Backdoor-Malware und ein spezialisiertes Credential-Stealing-Tool namens Getpass. Zwei Backdoors erhielten die Forscher die Namen “AppleChris” und “MemFun” — beide nutzen sogenannte Dead-Drop-Resolver (DDRs), eine Technik, die auch andere Staatsakteure einsetzen.

Zentral für die Kommunikation war ein cleveres Schema: Die Angreifer nutzten ein gemeinsames Pastebin-Repository mit verschlüsselten Command-and-Control-Adressen, die nur durch einen zweistufigen Entschlüsselungsprozess zugänglich wurden. Zusätzlich setzten sie Dropbox-Konten als DDRs ein und erhielten dadurch sichere, schwer nachzuverfolgbare Kommunikationskanäle über Monate und Jahre hinweg.

Lior Rochberger von Palo Alto Networks betont, dass die Angreifer nicht nur technisch versiert sind, sondern vor allem beeindruckende Geduld zeigten: Sie hielten sich monatelang unbemerkt in Netzwerken auf, gingen bei Bedarf in den Ruhemodus und führten präzise Intelligenzoperationen durch. Dies unterscheide sie grundlegend von Cyberkriminellen mit ihrem “Smash-and-Grab”-Ansatz.

Ein kritischer Aspekt ist die Missbrauchsmöglichkeit legitimer Dienste. Die Angreifer nutzten bekannte Cloud- und Web-Services wie Pastebin und Dropbox — gerade weil diese im normalen Datenverkehr untertauchen und von Sicherheitsteams oft übersehen werden. Palo Alto Networks beobachtet einen Trend zur verstärkten Missbrauchung solcher Services, beschleunigt durch KI-Tools und anonyme Cloud-Dienste.

Rochberger empfiehlt Organisationen daher, den Zugriff auf nicht-autorisierte Content-Hosting-Services strikt zu kontrollieren und verdächtigen Traffic zu diesen Plattformen genau zu überwachen. Für Deutsche Behörden und Unternehmen der kritischen Infrastruktur ist dies eine wichtige Warnung: Auch vermeintlich sichere Kanäle können für Hochrisiko-Operationen missbraucht werden.

Ähnliche Artikel