Phishing-Kampagne

Neue Phishing-Kampagne zielt auf europäische Diplomaten

, Check Point | Autor: Herbert Wieler

Neue Phishing-Kampagne zielt auf europäische Diplomaten

Check Point Research warnt vor APT29-Angriffen

Die Security-Forscher von Check Point Research (CPR), dem Forschungsteam von Check Point Software Technologies Ltd. (NASDAQ: CHKP), haben eine neue gezielte Phishing-Kampagne identifiziert, die seit Januar 2025 auf diplomatische Einrichtungen in Europa abzielt. Die Angriffe nutzen fortschrittliche Methoden und erinnern stark an frühere Aktivitäten der berüchtigten russischen Hackergruppe APT29, auch bekannt als Midnight Blizzard oder Cozy Bear.

Neue Malware „Grapeloader“ im Einsatz

Die Angriffe zeigen klare Parallelen zur früheren Wineloader-Kampagne, bei der gefälschte Einladungen zu diplomatischen Weinproben im Namen des italienischen Außenministeriums verschickt wurden. Auch bei der aktuellen Welle setzen die Angreifer auf täuschend echt wirkende E-Mails mit Betreffzeilen wie "Wine Event", "Wine Testing Event" oder "Diplomatic Dinner". Ziel ist es, das Vertrauen der Empfänger zu gewinnen und sie zum Öffnen eines infizierten ZIP-Archivs (wine.zip) zu verleiten.

Besonders auffällig ist die Verwendung glaubwürdiger Absender-Domains, die mit denen der schadhaften Links übereinstimmen – ein Trick, der die Authentizität der Nachrichten zusätzlich untermauert.

Phishing Abbildung 1: Schematische Darstellung des Ablaufs der aktuellen APT29 Kampagne (Check Point Software Technologies Inc.).

Perfekt getarnt: Gezielte Verteilung und ausgeklügelte Technik

Die Serverinfrastruktur hinter der Kampagne ist so konfiguriert, dass die schädliche Datei nur unter bestimmten Voraussetzungen – etwa zu definierten Tageszeiten oder aus bestimmten Regionen – ausgeliefert wird. Dies erschwert die Erkennung durch Sicherheitslösungen erheblich. Neben Grapeloader wurde auch eine neue Variante des bekannten Wineloader-Tools entdeckt. Analysen deuten darauf hin, dass diese Malware in späteren Phasen des Angriffs zum Einsatz kommen soll.

Fokus auf außenpolitische Ziele

Die Hauptziele der Kampagne sind diplomatische Einrichtungen in Europa, insbesondere Außenministerien und Botschaften. Auch Diplomaten außerhalb Europas – beispielsweise im Nahen Osten – stehen im Visier. In manchen Fällen wurden die Opfer statt mit Malware auf die echte Website eines europäischen Außenministeriums umgeleitet, was den Anschein von Legitimität erwecken soll.