Cyber-Spionage

Sophos deckt chinesische Spionagekampagne in Südostasien auf

Sophos deckt chinesische Spionagekampagne in Südostasien auf

Sophos hat eine chinesische Spionagekampagne in Südostasien aufgedeckt, die sich gegen eine hochrangige Regierungsorganisation richtete. Der Bericht „Operation Crimson Palace – A Technical Deep Dive “ beschreibt, wie fünf bekannte chinesische Bedrohungsgruppen, darunter APT41 und BackdoorDiplomacy, an der Kampagne beteiligt waren. Die Angreifer nutzten zwei neue Malware-Varianten, genannt „CCoreDoor“ und „PocoProxy“, um sensible politische, wirtschaftliche und militärische Informationen zu sammeln.

Im Rahmen der Untersuchung von Sophos X-Ops wurden drei Aktivitätscluster identifiziert: Cluster Alpha, Bravo und Charlie. Cluster Alpha war von März bis August 2023 aktiv und nutzte verschiedene Malware zur Spionage. Cluster Bravo operierte drei Wochen im März 2023 und installierte eine Hintertür zur Datenexfiltration. Cluster Charlie war von März 2023 bis April 2024 aktiv und konzentrierte sich auf die Exfiltration sensibler Daten.

Spionage Cluster

„Was wir bei dieser Kampagne gesehen haben, ist die aggressive Entwicklung von Cyberspionageoperationen im Südchinesischen Meer. Wir haben mehrere Bedrohungsgruppen, wahrscheinlich mit unbegrenzten Ressourcen, die wochen- oder monatelang dieselbe hochrangige Regierungsorganisation ins Visier nehmen, und sie verwenden fortschrittliche benutzerdefinierte Malware, die mit öffentlich verfügbaren Tools verknüpft ist. Sie waren und sind immer noch in der Lage, sich innerhalb einer Organisation nach Belieben zu bewegen und ihre Werkzeuge häufig zu wechseln. Mindestens einer der Aktivitätscluster ist immer noch sehr aktiv und versucht, weitere Überwachungen durchzuführen. Angesichts der Häufigkeit, mit der sich die Aktivitäten dieser chinesischen Bedrohungsgruppen überschneiden und diese Tools gemeinsam nutzen, ist es möglich, dass die TTPs und neuartige Malware, die wir in dieser Kampagne beobachtet haben, auch in anderen chinesischen Operationen weltweit wieder auftauchen. Wir werden die Geheimdienste über unsere Erkenntnisse auf dem Laufenden halten, während wir unsere Untersuchungen zu diesen drei Clustern fortsetzen“, so Paul Jaramillo, Director Threat Hunting & Threat Intelligence bei Sophos.

Die Kampagne zeigt, wie chinesische Bedrohungsgruppen Infrastruktur und Werkzeuge teilen, um ihre Ziele effizienter zu erreichen. Sophos betont die Notwendigkeit, Bedrohungen auf breiter Basis zu erkennen, um sich besser gegen koordinierte Angriffe zu schützen.