Zscaler ThreatLabz erkennen neue Angriffswelle mit PlugX-Backdoor

Kaum hatten die kriegerischen Auseinandersetzungen am Persischen Golf wieder Fahrt aufgenommen, schon machten Cyberkriminelle den Konflikt für ihre eigenen Zwecke nutzbar. Seit dem 1. März 2026 beobachten die Zscaler Sicherheitsexperten von ThreatLabz eine neue Angriffswelle, bei der eine Variante der berüchtigten PlugX-Backdoor eingesetzt wird. Nach Analyse der eingesetzten Tools, Techniken und Abläufe geht das ThreatLabz-Team davon aus, dass hinter der Kampagne ein China-Nexus Threat-Akteur steckt.

Besonders auffällig: Die Malware verwendet ausgefeilte Verschleierungsmethoden wie Control Flow Flattening (CFF) und Mixed Boolean Arithmetic (MBA), um Analysten das Reverse Engineering so schwer wie möglich zu machen. Für die Kommunikation mit den Command-and-Control-Servern nutzt PlugX HTTPS und zusätzlich DNS-over-HTTPS (DoH) für die Domain-Auflösung – ein klares Zeichen für die hohe technische Raffinesse der Angreifer.

Geopolitische Krisen als Lockmittel

Die Kampagne zeigt, wie schnell Cyberkriminelle aktuelle Ereignisse für ihre Zwecke instrumentalisieren. Als Köder dient ein arabischsprachiges PDF, das angebliche iranische Raketenangriffe auf einen US-Stützpunkt in Bahrain beschreibt.

ThreatLabz ordnet die Angreifer mit hoher Wahrscheinlichkeit dem China-Nexus zu, möglicherweise verbunden mit der Mustang Panda-Gruppe (auch bekannt als PKPLUG). Durch die Nutzung der emotionalen Brisanz des Konflikts versuchen sie, Opfer zur Interaktion mit infizierten Dateien zu bewegen.

Hightech-Malware für maximale Persistenz

Ziel der Angriffskette ist die Installation einer speziell angepassten PlugX-Backdoor. Die Malware setzt dabei auf ausgeklügelte Verschleierungstechniken:

• Control Flow Flattening (CFF): Der Programmcode wird so umgebaut, dass die Logik für Analysten kaum noch nachvollziehbar ist.
• Mixed Boolean Arithmetic (MBA): Logik- und Rechenoperationen werden durch extrem komplexe, mathematisch äquivalente Ausdrücke ersetzt – ein Effekt, der das Reverse Engineering massiv verlangsamt.

Nach der Installation verankert sich PlugX tief im System. Über die Fodhelper-Methode umgeht die Malware die Windows-Benutzerkontensteuerung (UAC) und richtet sich unter dem unscheinbaren Namen „Microsoft Desktop Dialog Broker“ als Windows-Dienst ein – so bleibt sie langfristig aktiv.

Tarnung auf Netzwerkebene

Auch auf der Netzwerkebene zeigt die Malware ihre Raffinesse: Die Kommunikation mit den C2-Servern läuft verschlüsselt über HTTPS auf Port 443. Zusätzlich nutzt PlugX DNS-over-HTTPS über legitime Google-DNS-Server, um bösartige Domains aufzulösen und Sicherheitslösungen zu umgehen. Ziel der Spionage: systematisches Abgreifen von Dokumenten der letzten 30 Tage.

Schutz vor hochkomplexen Angriffen

Nur eine integrierte Sicherheitsplattform, die Bedrohungen proaktiv auf allen Ebenen blockiert, kann vor solchen Angriffen zuverlässig schützen. ThreatLabz empfiehlt außerdem: Vorsicht beim Öffnen unerwarteter Dateien und beim Anklicken von Links, die angebliche Nachrichten oder aktuelle Berichte zum Nahostkonflikt enthalten.