Die Experten von Sophos haben eine chinesische Spionagekampagne in Südostasien aufgedeckt. Sophos X-Ops findet Verbindungen zwischen fünf bekannten chinesischen Bedrohungsgruppen, darunter APT41 und BackdoorDiplomacy; Angreifer nutzen zwei bisher unbekannte Malware-Varianten für Spionage und Persistenz.
Der Bericht „Operation Crimson Palace: Sophos Threat Hunting Unveils Multiple Clusters of Chinese State-Sponsored Activity Targeting Southeast Asia“, steckt voller Fakten. Er dokumentiert detailliert eine hochentwickelte, fast zweijährige Spionagekampagne gegen ein hochrangiges Regierungsziel.
Chinesische Spionagekampagne läuft bereits zwei Jahre
Im Rahmen der 2023 gestarteten Untersuchung von Sophos X-Ops fand das Managed-Detection-and Response-Team (MDR) drei verschiedene Aktivitätscluster, die auf dieselbe Organisation abzielten. Zwei davon umfassten Taktiken, Techniken und Verfahren (TTP), die sich mit bekannten chinesischen, nationalstaatlichen Gruppen überschneiden: BackdoorDiplomacy, APT15 und die APT41-Untergruppe Earth Longzhi.
Die Angreifer konzipierten ihre Operation mit dem Ziel, bestimmte Nutzer auszuspähen sowie sensible politische, wirtschaftliche und militärische Informationen zu sammeln. Dabei verwendeten sie während der Kampagne eine Vielzahl unterschiedlicher Malware und Tools, die Sophos „Crimson Palace“ nennt. Dazu gehören zwei bisher unbekannte Malware-Stämme: ein Backdoor- und ein Persistenz-Tool, die Sophos „CCoreDoor“ bzw. „PocoProxy“ nannte.
Diverse chinesische Angreifer – eine gemeinsame Infrastruktur
„Die verschiedenen Cluster scheinen im Sinne chinesischer Staatsinteressen gearbeitet zu haben, indem sie militärische und wirtschaftliche Informationen zur Unterstützung der Strategien des Landes im Südchinesischen Meer gesammelt haben“, so Paul Jaramillo, Director Threat Hunting & Threat Intelligence bei Sophos. „In dieser speziellen Kampagne glauben wir, dass die drei Cluster unter der Leitung einer zentralen staatlichen Behörde parallel gegen dasselbe Ziel vorgegangen sind.
Innerhalb eines der drei von uns identifizierten Cluster – Cluster Alpha – sahen wir Überschneidungen zwischen Malware und TTPs mit vier separat gemeldeten chinesischen Bedrohungsgruppen. Es ist bekannt, dass chinesische Angreifer Infrastruktur und Tools gemeinsam nutzen, und diese jüngste Kampagne ist ein mahnendes Beispiel dafür, wie umfassend diese Gruppen ihre Tools und Techniken teilen.“
Abwehrmaßnahmen intelligenter gestalten
Jaramillo weiter: „Während westliche Regierungen das Bewusstsein für Cyberbedrohungen aus China schärfen, ist die von Sophos aufgedeckte Überschneidung eine wichtige Erinnerung daran, dass eine zu starke Konzentration auf einen einzelnen chinesischen Akteur dazu führen kann, dass Unternehmen Gefahr laufen, Trends bei der Art und Weise zu übersehen, wie diese Gruppen ihre Operationen koordinieren. Durch den Blick über den Tellerrand hinaus können Unternehmen ihre Abwehrmaßnahmen intelligenter gestalten.“
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.