Die seit 2012 aktive SideWinder-Gruppe konzentrierte sich bislang vor allem auf Regierungen in Südasien, etwa in Bangladesch, Nepal, Pakistan und Sri Lanka, sowie auf militärische und diplomatische Einrichtungen in Süd- und Südostasien. Laut Vasily Berdnikov, leitender Sicherheitsforscher bei Kasperskys Global Research and Analysis Team (GReAT), hat die Gruppe ihren Fokus zuletzt auf maritime Infrastruktur, Logistikunternehmen und einen Nuklearsektor erweitert.

Kaspersky ordnet Bedrohungsgruppen grundsätzlich keinem bestimmten Staat zu. Berdnikov verweist jedoch darauf, dass SideWinder über Südasien hinaus auch Ziele in Afrika, Europa und im Nahen Osten kompromittiert habe und damit den Anspruch zeige, über eine einzelne Region hinauszugehen.

Trotz mehr als einem Jahrzehnt Erfahrung sind die Methoden für den Erstzugriff nach Angaben der Forscher nicht besonders komplex. Die Gruppe setzt weiterhin stark auf Spear-Phishing, gestohlene Zugangsdaten und die Ausnutzung längst gepatchter Schwachstellen. Häufig nutzt sie bekannte Lücken in Microsoft Office sowie DLL-Hijacking, um Fuß zu fassen. “SideWinder verwendet seit Jahren dieselben Taktiken und Techniken”, sagt Berdnikov. Die wichtigste Methode, um Malware einzurichten und zu starten, sei DLL-Hijacking.

Schwerer einzudämmen macht den Akteur jedoch nicht der Zugang selbst, sondern das Vorgehen nach der Kompromittierung. SideWinder hat einen wiederholbaren Ablauf aus gestufter Auslieferung der Schadlast, Persistenz über Windows-Dienste und schnellen Wechseln der Command-and-Control-Infrastruktur (C2) aufgebaut. Dadurch behalten die Angreifer oft Zugang, selbst wenn Einsatzkräfte einen Angriff bereits für behoben halten.

Eine ungewöhnliche Beobachtung aus jüngsten Kampagnen ist laut Dannacher, dass die Malware ihre Konfigurationsdaten – vor allem die Adresse des C2-Servers – dynamisch zur Laufzeit ermittelt, statt sie fest in die Binärdatei einzubetten. “Der Angreifer kann seine gesamte Kommunikationsinfrastruktur allein durch das Umbenennen einer Datei wechseln. Keine Neukompilierung, kein neuer Malware-Build, kein langwieriger Entwicklungszyklus”, sagt er. Das erschwert die Reaktion auf Vorfälle, weil eine Bereinigung abgeschlossen wirken kann, der Angreifer aber binnen Stunden erneut aktiv wird. Zugleich sinkt die Wirksamkeit signaturbasierter Erkennung, und dieselbe Malware lässt sich über mehrere Kampagnen hinweg wiederverwenden.

Das Zielmuster passt nach Einschätzung der Forscher zu einem spionagegetriebenen Auftrag und nicht zu finanziell motivierten Angriffen. Jüngste Kampagnen zeigten Anzeichen sorgfältiger operativer Abgrenzung, darunter Malware-Konfigurationen, die bestimmte Netzwerke meiden – offenbar, um Kollateralschäden zu begrenzen und gezielt hochwertige Umgebungen anzugreifen.

Für Verteidiger bedeutet die breitere Zielauswahl, dass auch Organisationen außerhalb des Regierungsbereichs gefährdet sein können, wenn sie in derselben Lieferkette oder denselben Kommunikationsnetzen liegen. Vorpositionierte Bedrohungen tauchen Dannacher zufolge mitunter jahrelang nicht auf, bleiben aber über einen “strategischen Horizont von fünf oder zehn Jahren” relevant. Eine große Institution sei realistischerweise gleichzeitig für mehrere staatsnahe Akteure mit unterschiedlichen Zielen von Interesse.

ITSEC Asia rät, sich nicht allein auf Verteidigung anhand von Kompromittierungsindikatoren zu verlassen, sondern die Taktiken, Techniken und Prozeduren (TTPs) der Gruppe wiederholt zu blockieren. Zwar seien finanziell motivierte Angreifer in der Region am häufigsten, doch dieselben Techniken würden von verschiedenen Gruppen wiederverwendet. “Was wir in Indonesien gerade sehen, ist keine Landschaft mit einer einzigen dominierenden Bedrohungskategorie – es ist eine Konvergenz”, sagt Dannacher. Die Grenzen zwischen Cyberkriminalität, Hacktivismus und staatlich gesteuerten Eingriffen hätten sich auf operativer Ebene weitgehend aufgelöst.