China-nahe Angreifer nutzen ShadowPad, IOX Proxy und WMIC in mehrstufiger Spionagekampagne
Eine China-nahe Bedrohungsgruppe führt eine sorgfältig geplante Spionagekampagne gegen Regierungsbehörden und kritische Infrastrukturen in ganz Asien durch.
Kurzfassung
Warum das wichtig ist
- Eine China-nahe Bedrohungsgruppe führt eine sorgfältig geplante Spionagekampagne gegen Regierungsbehörden und kritische Infrastrukturen in ganz Asien durch.
- Die Gruppe, die unter der vorläufigen Bezeichnung SHADOW-EARTH-053 verfolgt wird, ist seit mindestens Dezember 2024 aktiv und zielt leise auf Organisationen in mindestens acht Ländern ab.
- Die Kampagne nutzt eine Kombination aus Malware-Tools und Living-off-the-Land-Techniken, um sich so lange wie möglich in den Netzwerken der Opfer zu verstecken.
Die Angreifer erlangen den anfänglichen Zugang durch die Ausnutzung bekannter, aber nicht gepatchter Schwachstellen in Microsoft Exchange- und Internet Information Services (IIS)-Servern. Die Gruppe zielte gezielt auf die ProxyLogon-Schwachstellenkette ab, zu der CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 gehören.
Obwohl Patches für diese Mängel seit langem verfügbar sind, betreiben viele Organisationen immer noch ungepatchte Exchange-Server, was sie zu leichten Zielen macht. Nach dem Eindringen setzen die Angreifer Web-Shells wie GODZILLA ein, um dauerhaften Hinterturtzugriff zu erhalten und beliebige Fernbefehle auszuführen.
Die Trend Micro-Forscher Daniel Lunghi und Lucas Silva identifizierten diese Kampagne durch laufende Analysen , die auf Süd- und Südostasien abzielen. Ihre Untersuchung deckte einen verwandten Cluster auf, SHADOW-EARTH-054, der identische Tool-Hashes und überlappende Angriffsmethoden aufweist.
In fast der Hälfte der betroffenen
In fast der Hälfte der betroffenen Umgebungen kompromittierten beide Cluster dieselben Organisationen, wobei Opfer in Pakistan, Thailand, Malaysia, Indien, Myanmar, Sri Lanka, Taiwan und Polen bestätigt wurden.
Das Forschungsteam schätzte ein, dass diese Operationen mit Chinas breiteren strategischen Interessen übereinstimmen und am wahrscheinlichsten der Cyber-Spionage und dem Diebstahl geistigen Eigentums dienen.
Die primäre Malware ist ShadowPad, ein modulares Backdoor, das erstmals 2017 von APT41 verwendet und später ab 2019 unter mehreren China-nahen Gruppen geteilt wurde.
Holz als technisches Geruest
Über ShadowPad hinaus setzten die Angreifer den IOX Proxy ein, um verdeckte Kommunikationskanäle zu erstellen, nutzten Windows Management Instrumentation Command-line (WMIC) für die laterale Bewegung und verließen sich auf Open-Source-Tunneling-Tools, darunter GOST und Wstunnel, um den Datenverkehr über SOCKS5- und HTTPS-Verbindungen zu externer Infrastruktur zu tunneln.
Wie der Angriff abläuft: Der Infektionsmechanismus , wie ShadowPad auf die Maschinen der Opfer geladen wird, ist einer der technisch bemerkenswertesten Teile dieser Kampagne. Die Angreifer verwenden eine DLL-Sideloading-Technik, indem sie eine bösartige DLL neben eine legitime signierte ausführbare Datei platzieren.
.webp)
Wenn das legitime Programm ausgeführt wird, lädt es unwissentlich die bösartige DLL stattdessen. Die Gruppe missbrauchte ausführbare Dateien , Samsung und Microsoft und benannte sie um, um sich mit normaler Systemaktivität zu vermischen.
Legitime ausführbare Dateien anfällig für DLL
Legitime ausführbare Dateien anfällig für DLL Sideloading, missbraucht ‑EARTH‑053 (Quelle – Trend Micro) Was diesen Loader besonders unsichtbar macht, ist, dass die ShadowPad-Nutzlast nicht in der DLL selbst gespeichert ist.
Stattdessen ruft der Loader eine verschlüsselte Nutzlast aus einem maschinenspezifischen Registry-Schlüssel unter HKEY_CURRENT_USER\Software ab. Die Persistenz wurde durch eine geplante Aufgabe namens „M1onltor“ aufrechterhalten, die konfiguriert ist, das sideloaded Binary alle fünf Minuten mit den höchsten verfügbaren Privilegien auszuführen.
Anschließend wurde WMIC verwendet, um Hintertüren auf zusätzliche Hosts zu pushen, und Tools zum Sammeln , darunter Mimikatz und Evil-CreateDump, wurden über IIS-Worker-Prozesse ausgeführt, um Passwörter und Kontodaten zu extrahieren.
Moegliche Anwendungen
Organisationen, die internetzugängliche Microsoft Exchange- oder IIS-Server betreiben, sollten die neuesten Sicherheitspatches umgehend anwenden, da die ProxyLogon-Schwachstellenkette weiterhin ein aktiver Eintrittspunkt für diese Gruppe ist.
Wo ein Patching nicht sofort möglich ist, wird dringend empfohlen, Intrusion Prevention Systems (IPS) oder Web Application Firewalls (WAF) mit virtuellen Patchregeln zu implementieren.
Sicherheitsteams sollten File Integrity Monitoring (FIM) auf kritische Webverzeichnisse einrichten und Alarme für neue oder geänderte .aspx-, .ashx- oder .jsp-Dateien konfigurieren. Die Telemetrie (EDR) sollte auf IIS-Worker-Prozesse überprüft werden, die Befehlszeilen oder Aufklärungswerkzeuge starten.
Verzeichnisse wie C:\Users\Public und C:\ProgramData sollten
Verzeichnisse wie C:\Users\Public und C:\ProgramData sollten genau beobachtet werden, da die Gruppe diese während der gesamten Kampagne durchgehend als Staging-Bereiche nutzte. Sie uns auf
Der Beitrag China-Aligned Attackers Use ShadowPad, IOX Proxy, and WMIC in Multi-Stage Espionage Campaign erschien zuerst bei Cyber Security News.
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
NVIDIA-CEO Jensen weist Befürchtungen über Jobverlust durch KI zurück und argumentiert, dass Softwareingenieure Probleme lösen, gibt aber auch zu, dass China keinen Anteil hat
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Softbank plant KI-Giganten-Spinoff 'Roze' im Wert von 100 Milliarden Dollar
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- China-Aligned Attackers Use ShadowPad, IOX Proxy, and WMIC in Multi-Stage Espionage Campaign
- Canonical
- https://cybersecuritynews.com/china-aligned-attackers-use-multi-stage-espionage-campaign/
- Quell-URL
- https://cybersecuritynews.com/china-aligned-attackers-use-multi-stage-espionage-campaign/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
NVIDIA-CEO Jensen weist Befürchtungen über Jobverlust durch KI zurück und argumentiert, dass Softwareingenieure Probleme lösen, gibt aber auch zu, dass China keinen Anteil hat
NVIDIAs CEO hat bekräftigt, dass Hunderttausende Arbeitsplätzen schaffen wird, und reagiert dabei auf Richtungsänderung der USA gegenüber China.
01.05.2026
Live Redaktion
Softbank plant KI-Giganten-Spinoff 'Roze' im Wert von 100 Milliarden Dollar
Softbank plant die Gründung eines KI-Spinoffs namens Roze mit einem geschätzten Wert von 100 Milliarden US-Dollar. Das Unternehmen soll Rechenzentren und Robotiksysteme bündeln, um die KI-Infrastruktur zu stärken. Obwohl Masayoshi Son das Vorhaben vorantreibt, gibt es Bedenken hinsichtlich der Finanzierbarkeit und des ambitionierten Zeitplans.
01.05.2026
Live Redaktion
Warum Ihr Gehirn auch im Wachzustand „träumen“ lässt
Zusammenfassung: Wir denken normalerweise Wachheit Schlaf als zwei getrennte Welten, aber neue Forschung beweist, dass Grenze eine Illusion ist.
01.05.2026
Live Redaktion
Roblox Reality: Ein KI-gestütztes, fotorealistisches Modell im Stil von DLSS 5, das direkt in die Engine integriert ist
Diese Woche hat Roblox Corporation Roblox Reality enthllt, ein ehrgeiziges Projekt, das darauf abzielt, ein KI-gesttztes Modell Stil von DLSS 5 zu liefern, um die visuellen Mglichkeiten auf der beliebten Spielepla
01.05.2026
Live Redaktion