Die Schwachstelle CVE-2026-3502 wird als Medium-Severity eingestuft, offenbart jedoch im praktischen Einsatz ein hohes Gefährdungspotenzial. Das Kernproblem liegt in einem fehlenden Integritätscheck im Update-Mechanismus von TrueConf. Angreifer können diesen Mangel ausnutzen, um legitime Update-Pakete durch bösartige Inhalte zu ersetzen – eine klassische Supply-Chain-Attack, die besonders tückisch ist, weil Nutzer dem Update-Prozess normalerweise vertrauen.
TrueConf ist eine selbst gehostete Videokonferenz-Lösung, die sich besonders in geschlossenen, offline-Umgebungen verbreitet hat. Während der COVID-19-Pandemie migrierten über 100.000 Organisationen zur Plattform. Zu den Nutzern gehören Streitkräfte, Regierungsstellen, Konzerne aus dem Öl- und Gassektor sowie Flugverkehrsleitsysteme – eine beeindruckende Reichweite für ein Unternehmen im Videokonferenz-Markt.
Die Kampagne TrueChaos zielt gezielt auf Regierungsbehörden in Südostasien ab. Check Point attestiert mit moderatem Vertrauen eine chinesische Herkunft, basierend auf Taktiken, genutzter Cloud-Infrastruktur (Alibaba Cloud, Tencent) und dem Angriffsmustern. Die Infektionskette ist ausgeklügelt: Sie nutzt DLL-Sideloading, verteilt Aufklärungstools wie tasklist und tracert, führt UAC-Umgehungen durch und etabliert Persistenzmechanismen. Besonders besorgniserregend: Als Command & Control (C2) Framework kommt Havoc zum Einsatz – ein Open-Source-Tool, das bereits von der chinesischen Gruppe Amaranth Dragon verwendet wurde.
Die betroffenen Versionen 8.1.0 bis 8.5.2 sollten sofort auf die gepatchte Version 8.5.3 aktualisiert werden. Check Point hat konkrete Indikatoren für Kompromittierungen veröffentlicht: Das Vorhandensein von poweriso.exe, 7z-x64.dll oder verdächtigen Artefakten wie iscsiexe.dll deutet auf eine erfolgreiche Infektion hin. Deutsche Unternehmen sollten ihre TrueConf-Infrastrukturen dringend überprüfen, Patch-Status aktualisieren und ihre Endpoint-Security-Tools entsprechend konfigurieren.