Welche konkrete China-nahe Gruppe hinter der Kampagne steht, lässt sich laut Unit 42 nicht bestimmen. Die Angreifer setzten mehrere zuvor undokumentierte Werkzeuge ein, darunter zwei Backdoors, die die Forscher “AppleChris” und “MemFun” tauften.
Beide Backdoors nutzen sogenannte Dead-Drop-Resolver (DDR) — eine auch von anderen staatlichen Gruppen verwendete Technik, bei der Inhalte mit eingebetteten bösartigen Domains oder IP-Adressen auf legitimen Webseiten hinterlegt werden. Im vorliegenden Fall verwendeten die Akteure ein gemeinsam genutztes Pastebin-Repository, das eine verschlüsselte Command-and-Control-IP-Adresse enthält. Diese lässt sich nur über einen zweistufigen Entschlüsselungsprozess auslesen.
“Dieser kryptografische Ansatz stellt sicher, dass die eigentlichen Informationen zum C2-Server geschützt bleiben, selbst wenn das Pastebin-Konto entdeckt wird, da der zugehörige private Schlüssel in der Malware eingebettet ist”, schreiben Rochberger und Zemah. Zusätzlich diente ein Dropbox-Konto als DDR; über solche Konten hielten die Angreifer den Forschern zufolge wahrscheinlich über lange Zeit die Verbindung zu mehreren Netzwerken aufrecht.
Die Malware setzte weitere Tarntechniken ein, etwa verzögerte Ausführung zur Umgehung von Sandboxes sowie “Timestomping”, bei dem die Zeitstempel von Dateien in Windows manipuliert werden, um neue oder veränderte Dateien zu verbergen.
Rochberger, leitende Bedrohungsforscherin bei Palo Alto Networks, beschreibt die Akteure gegenüber Dark Reading als “hochqualifiziert und fokussiert”. Sie entwickelten ausgefeilte, maßgeschneiderte Malware mit fortschrittlichen Umgehungstechniken — entscheidend sei jedoch ihre Geduld: “Sie hielten den Zugang monatelang unentdeckt aufrecht, wurden bei Bedarf inaktiv und führten über mehrere Jahre hinweg präzise Informationsbeschaffung durch. Dieses Maß an Disziplin ist schwerer zu erreichen, als nur gute Malware zu bauen.”
Sie verweist auf eine übliche Zweiteilung bei China-nahen Gruppen: Während ein Teil auf langfristige Spionage setzt, gehen andere mit “Smash-and-grab”-Angriffen vor — sie dringen schnell ein, stehlen, was sie erreichen können, fliegen aber oft auf, weil ihr Vorgehen in einer Umgebung als vergleichsweise “laut” auffällt.
Ein zentrales Merkmal von CL-STA-1087 ist der Missbrauch legitimer Web- und Cloud-Dienste für bösartige Zwecke. Palo Alto Networks beobachtet hier nach Rochbergers Worten eine Zunahme, die sich “mit dem Aufkommen von KI-Werkzeugen und Cloud-Diensten beschleunigt hat, die einfachen, anonymen Zugang bieten”.
Sie rät Organisationen, den Zugriff ihrer Netzwerke selbst auf bekannte Dienste wie Dropbox und Pastebin strenger zu regeln: Wer solche Hosting- oder Speicherdienste nicht offiziell nutze oder freigebe, solle den Zugang einschränken; mindestens seien robuste Überwachung und Alarmierung bei verdächtigem Datenverkehr nötig. Angreifer wählten diese Dienste gezielt, weil sie sich in den normalen Internetverkehr einfügen und von Sicherheitsteams oft übersehen würden.
Palo Alto Networks veröffentlichte zudem Indikatoren für eine Kompromittierung (IOCs) zu CL-STA-1087, darunter SHA256-Hashes der AppleChris-Varianten und der MemFun-Backdoors sowie IP-Adressen der C2-Server.
