Cloud-Atlas-APT-Gruppe manipuliert termsrv.dll, um mehrere RDP-Sitzungen auf Opfer-Systemen zu ermöglichen

Die bekannte Advanced Persistent Threat (APT)-Gruppe Cloud Atlas ist dabei erwischt worden, eine gefährliche Technik einzusetzen, um Windows-Systeme zu übernehmen, ohne dass Netzwerkteilnehmer davon erfahren.

Die Gruppe Die bekannte Advanced Persistent Threat (APT)-Gruppe Cloud Atlas ist dabei erwischt worden, eine gefährliche Technik einzusetzen, um Windows-Systeme zu übernehmen, ohne dass Netzwerkteilnehmer davon erfahren.

Die Gruppe modifiziert eine Kerndatei, um mehrere gleichzeitige Remote Desktop Protocol (RDP)-Sitzungen auf einem infizierten Computer freizuschalten. Dies ermöglicht es Angreifern, im Hintergrund zu agieren, während ein legitimer Benutzer weiterhin angemeldet bleibt, was die Erkennung durch Sicherheitsteams erheblich erschwert.

Cloud Atlas ist seit mindestens 2014 aktiv; im vergangenen Jahr hat die Gruppe ihre Angriffe gegen Regierungsbehörden und diplomatische Organisationen, insbesondere in Russland und Belarus, deutlich verstärkt. Die Kampagnen sind ausgefeilter geworden und kombinieren Phishing-Methoden mit neuen Werkzeugen, die so lange wie möglich unauffällig bleiben sollen.

Die Gruppe setzt Dienstprogramme wie Tor, SSH und RevSocks sowie eigene Malware ein, um die Erkennung besonders schwierig zu machen. Forscher jüngste Aktivitätswelle identifiziert und festgestellt, dass das Werkzeugset der Gruppe im zweiten Halbjahr 2025 und bis in den frühen 2026 erheblich erweitert wurde. In einem Bericht, der mit