Die Sicherheitsforscherin Doel Santos und sein Kollege Hiroaki Hara von Palo Alto Networks Unit 42 haben eine beeindruckend koordinierte Cyber-Kampagne dokumentiert, die neue Maßstäbe für das Zusammenspiel mehrerer staatlich unterstützter Hackergruppen setzt. Drei verschiedene Aktivitätscluster mit chinesischen Verbindungen arbeiten offenbar koordiniert an einem gemeinsamen Ziel: Der Etablierung von persistentem Zugriff auf sensible Regierungsnetzwerke.
Die Kampagne, die zwischen Juni und August 2025 dokumentiert wurde, zeigt eine bemerkenswerte Spezialisierung der eingesetzten Werkzeuge. Die Gruppe Mustang Panda nutzte das USB-Malware HIUPAN (auch unter den Namen USBFect, MISTCLOAK oder U2DiskWatch bekannt), um den PUBLOAD-Backdoor mittels der manipulierten DLL namens Claimloader zu verteilen. Claimloader wurde erstmals Ende 2022 gegen philippinische Regierungsorganisationen eingesetzt. Die Kontinuität dieser Kampagnen über Jahre hinweg verdeutlicht die Ernsthaftigkeit und Geduld der Angreifer.
Besonders auffällig ist die Arsenal-Vielfalt: Neben HIUPAN und PUBLOAD kamen EggStremeFuel, EggStremeLoader, MASOL RAT, PoshRAT, TrackBak Stealer, Hypnosis Loader und FluffyGh0st zum Einsatz. Jede dieser Malware-Familien erfüllt spezifische Funktionen im Angriffsszenario. Das COOLCLIENT-System beispielsweise ermöglicht Dateiübertragungen, Keystroke-Logging, Paketumleitung und Port-Informationserfassung — ein perfekt zugeschnittenes Arsenal für langfristigen Netzwerk-Zugriff.
Ein weiterer Cluster (CL-STA-1049) nutzt einen neuartigen DLL-Loader namens Hypnosis Loader, der FluffyGh0st RAT installiert. Die genauen Zugangsvektoren für mehrere dieser Angriffe bleiben bislang unklar, was die Raffinesse der Operationen unterstreicht.
Für die Sicherheitsforschung besonders signifikant ist die Erkenntnis, dass diese Cluster nicht isoliert arbeiten, sondern übereinstimmende Taktiken, Techniken und Verfahren (TTPs) nutzen. Dies deutet auf eine zentrale Koordination oder gemeinsame Befehlsstruktur hin. Die Forscher von Unit 42 folgern: “Die Konvergenz dieser Aktivitätscluster zeigt auf eine koordinierte Anstrengung hin, um ein gemeinsames strategisches Ziel zu erreichen.”
Die Methodologie der Angreifer offenbart kein Interesse an kurzfristigen Störungen, sondern an langfristig persistentem Zugriff. Dies ist das gefährlichste Szenario für jede Regierungsorganisation, denn es ermöglicht Spionage, Manipulation von Systemen und den Diebstahl sensibler Daten über lange Zeiträume hinweg.