Cobra DocGuard ist eine Plattform für Dokumentensicherheit und Verschlüsselung des Herstellers EsafeNet. Der Missbrauch dieser Software bei realen Angriffen wurde bislang zweimal öffentlich festgehalten. Im Januar 2023 dokumentierte ESET einen Vorfall, bei dem ein Glücksspielunternehmen in Hongkong im September 2022 über ein schädliches Update der Software kompromittiert wurde.

Im darauffolgenden August wies Symantec auf einen neuen Bedrohungscluster mit dem Namen Carderbee hin. Dieser nutzte eine trojanisierte Version des Programms, um die Hintertür PlugX einzuschleusen – eine Backdoor, die unter anderem von chinesischen Hackergruppen wie Mustang Panda verbreitet eingesetzt wird. Die Angriffe richteten sich gegen mehrere Organisationen in Hongkong und anderen asiatischen Ländern.

Speagle bleibt bislang ohne Zuordnung. Das Auffällige an der Malware: Sie sammelt und exfiltriert ausschließlich Daten von Systemen, auf denen Cobra DocGuard installiert ist. “Das deutet auf eine gezielte Auswahl hin, möglicherweise zur Erleichterung von Nachrichtengewinnung oder Industriespionage”, erklärten die Forscherteams. Als wahrscheinlichste Hypothesen nennen sie entweder einen staatlich unterstützten Akteur oder einen privaten Auftragnehmer.

Wie genau die Malware zu den Opfern gelangt, ist unbekannt. Die Forscher vermuten jedoch einen Angriff über die Lieferkette, wie ihn die beiden früheren Fälle nahelegen. Die zentrale Rolle der Sicherheitssoftware und ihrer Infrastruktur ist dabei bemerkenswert: Speagle nutzt einen legitimen Cobra-DocGuard-Server für Steuerung (Command-and-Control) und als Punkt für die Datenabführung. Zusätzlich ruft die Malware einen zum Programm gehörenden Treiber auf, um sich selbst vom kompromittierten Host zu löschen.

Bei der ausführbaren Datei handelt es sich um eine 32-Bit-.NET-Anwendung. Nach dem Start prüft sie zunächst den Installationsordner von Cobra DocGuard und sammelt anschließend in mehreren Phasen Daten vom infizierten Rechner. Dazu zählen Systeminformationen sowie Dateien aus bestimmten Ordnern, etwa solche mit Browserverlauf und Autofill-Daten.

Eine Variante von Speagle verfügt darüber hinaus über zusätzliche Funktionen, mit denen sich einzelne Arten der Datensammlung gezielt ein- und ausschalten lassen. Diese Variante sucht zudem nach Dateien, die mit chinesischen ballistischen Raketen wie der Dongfeng-27 (auch DF-27) in Verbindung stehen.

Nach Einschätzung der Forscher handelt es sich bei Speagle um eine neuartige, parasitäre Bedrohung, die den Client von Cobra DocGuard zur Tarnung ihrer Aktivität und dessen Infrastruktur zur Verschleierung des Exfiltrationsverkehrs nutzt. Der Entwickler habe frühere Angriffe über die Lieferkette mit dieser Software offenkundig zur Kenntnis genommen und sie möglicherweise wegen ihrer vermuteten Verwundbarkeit und ihrer hohen Verbreitung unter den Zielorganisationen ausgewählt.