Die SideWinder-Gruppe, auch unter dem Namen RagaSerpent bekannt, operiert bereits seit 2012 und hat sich als eine der hartnäckigsten Spionagegruppen im asiatischen Raum etabliert. Was die Hacker besonders gefährlich macht, ist nicht die Raffinesse ihrer Angriffsmethoden, sondern vielmehr ihre Ausdauer und Geduld.
Einfache Methoden, maximale Wirkung
Die Intrusionstechniken der SideWinder-Gruppe sind relativ simpel: Phishing-Mails mit Regierungsaudit-Thema, gestohlene Zugangsdaten und die Ausnutzung längst gepatchter Microsoft-Office-Schwachstellen. DLL-Hijacking ist ein bevorzugtes Verfahren, um Fuß in Netzwerken zu fassen. Doch Sicherheitsforscher warnen davor, diese Einfachheit als Schwäche zu interpretieren.
Was SideWinder auszeichnet, ist die Geschicklichkeit bei der Post-Exploitation-Phase. Die Gruppe hat ein hocheffizientes System entwickelt: Gestaffelte Payload-Zulieferung, Persistenz über Windows-Services und blitzschnelle Infrastruktur-Wechsel. Patrick Dannacher, Leiter von ITSEC Asia, beschreibt eine besonders clevere Technik: Die Malware bezieht ihre Konfigurationsdaten – insbesondere die Command-and-Control-Serveradresse – zur Laufzeit dynamisch. Das bedeutet praktisch, dass die Angreifer ihre gesamte Kommunikationsinfrastruktur nur durch Umbenennung einer Datei wechseln können. Keine Neukompilierung, keine neuen Malware-Versionen, keine zeitaufwändigen Entwicklungszyklen.
Herausforderungen für die Abwehr
Diese Architektur stellt Incident-Response-Teams vor massive Herausforderungen. Was nach erfolgreicher Beseitigung aussieht, kann sich als Täuschung entpuppen – innerhalb von Stunden können Angreifer wieder aktiv sein. Kaspersky-Forscher Vasily Berdnikov betont, dass sich SideWinder über mehr als ein Jahrzehnt hinweg die gleichen Techniken zu Nutze macht. Das ermöglicht maximale Effizienz bei minimalen Anpassungen.
Die geografische Ausweitung ist kein Zufall. SideWinder hat ihre Aktivitäten inzwischen auch nach Afrika, Europa und den Nahen Osten ausgebreitet. Die sorgfältige operative Auswahl der Ziele deutet auf eine Spionage-Mission hin, nicht auf finanziell motivierte Cyberkriminalität.
Warnung für internationale Lieferketten
Für Unternehmen außerhalb von Regierungsstrukturen besteht ein unterschätztes Risiko: Wer in der gleichen Lieferkette oder im gleichen Kommunikationsnetzwerk operiert wie primäre Ziele, könnte ungewollt ins Visier geraten. Dannacher warnt vor vorpositionierten Bedrohungen, die über fünf bis zehn Jahre hinweg schlafen können.
Die Konvergenz verschiedener Bedrohungsakteure – Cyberkriminelle, Hacktivisten und staatlich gesponserte Gruppen – nutzen teilweise identische Techniken. Diese Vermischung erschwert die Verteidigung erheblich. Organisationen sollten sich nicht auf Indikatoren-basierte Abwehr konzentrieren, sondern auf die Blockierung wiederkehrender Taktiken und Verfahren.