Chinesische Hackergruppe nimmt EU-Diplomaten ins Visier

Verdeckte Cyberangriffe durch China: Laut einer Untersuchung der Cybersecurity-Experten von Proofpoint hat nun eine mit dem chinesischen Staat in Verbindung stehende Hackergruppe verstärkt diplomatische Einrichtungen in Europa ins Visier genommen. Im Zuge der Verschärfung des Krieges in der Ukraine werden dabei im Rahmen einer Cyberkampagne gefährliche E-Mails versendet, die zur Verbreitung von Malware genutzt werden.

Die wichtigsten Erkenntnisse von Proofpoint zu dieser Kampagne zusammengefasst:

• Die fragliche Hackergruppe, Threat Actor (TA) 416 (auch als RedDelta bezeichnet), ist dafür bekannt, dass sie mit dem chinesischen Staat in Verbindung steht. Bereits seit mehreren Jahren nimmt die Gruppe Ziele in Europa ins Visier. Proofpoint verfolgt diesen Cyberakteur seit 2020, jedoch hat das Tempo seiner Angriffe deutlich zugenommen, seit russische Truppen an der ukrainischen Grenze aufmarschiert sind.
• Kürzlich hat TA416 damit begonnen, ein kompromittiertes E-Mail-Postfach eines Diplomaten eines europäischen NATO-Landes zu nutzen, um die diplomatischen Vertretungen eines anderen Landes zu attackieren. Die Zielpersonen der Kampagne sind im Bereich der Flüchtlings- und Migrantenbetreuung tätig.
• Bei der Kampagne von TA416 kommen Web-Bugs zum Einsatz, um ein Profil der Ziele zu erstellen, bevor die Malware verteilt wird. Web Bugs, auch Tracking-Pixel genannt, sind eingebettete, nicht sichtbare Hyperlink-Objekte im Text einer E-Mail, die, wenn sie aktiviert werden, versuchen, eine harmlose Bilddatei von einem Server der Angreifer abzurufen. Dadurch wissen die Täter, dass das anvisierte Konto genutzt wird und das Opfer dazu neigt, E-Mails mit Social-Engineering-Inhalten zu öffnen. Dies deutet darauf hin, dass TA416 gezielter vorgeht und möglicherweise versucht, zu vermeiden, dass seine Angriffs-Tools entdeckt und veröffentlicht werden.
• Zudem werden im Rahmen der Kampagne bösartige Links und Dokumente zur Täuschung eingesetzt, die sich auf die Fluchtbewegungen aus der Ukraine beziehen. Das Ziel dabei ist es, den Opfern eine Malware namens PlugX zukommen zu lassen. PlugX ist ein RAT (Remote Access Trojaner), der nach der Installation die vollständige Kontrolle über den Rechner des Opfers übernehmen kann.

„Der Einsatz der Web-Bug-Spionage-Technik deutet darauf hin, dass TA416 bei der Auswahl der Ziele, die die Gruppe als Empfänger ihrer Malware-Payload auserkoren hat, immer wählerischer wird“, erläutern die Experten von Proofpoint. „In der Vergangenheit hat die Gruppe hauptsächlich Web-Bug-URLs zusammen mit Malware-URLs verschickt, um eine Bestätigung des Empfangs zu erhalten. Im Jahr 2022 begann die Gruppe damit, zunächst ein Benutzerprofil zu erstellen und dann Malware-URLs zu versenden. Dies könnte ein Versuch von TA416 sein, zu vermeiden, dass ihre bösartigen Tools entdeckt und öffentlich gemacht werden. TA416 scheint seinen Fokus zu verengen und nicht länger breit angelegte Phishing-Kampagnen zu betreiben, sondern sich auf einzelne Zielpersonen zu konzentrieren. Da diese nachweislich aktiv und bereit dazu sind, E-Mails zu öffnen, erhöht dies die Erfolgschancen der Gruppe, wenn in der Folge eine bösartige Malware-Payload hinterhergeschickt wird.“