Sysdig deckt Kampagne mit SNOWLIGHT- und VShell-Malware Tools auf

Das Threat Research Team (TRT) von Sysdig hat eine laufende Kampagne der chinesischen APT-Gruppe UNC5174 aufgedeckt. Diese richtet sich gezielt gegen Linux-Systeme in westlichen Ländern sowie im asiatisch-pazifischen Raum. Dabei setzen die Angreifer auf eine Kombination aus der bereits bekannten Malware SNOWLIGHT und dem Remote-Access-Trojaner (RAT) VShell – einem Open-Source-Werkzeug, das aufgrund seiner unauffälligen Eigenschaften besonders schwer zu erkennen ist.

Die initiale Infektion erfolgt über ein Bash-Skript, das zwei schädliche Binärdateien nachlädt: dnsloger (Verbindung mit SNOWLIGHT-Malware) und system_worker (Verbindung mit Sliver und Cobalt Strike). Die Besonderheit dieser Kampagne liegt im Einsatz von fileless Payloads, die vollständig im Arbeitsspeicher ausgeführt werden, sowie in der Verwendung von WebSockets für die C2-Kommunikation – ein Vorgehen, das auf maximale Tarnung gegenüber traditionellen Erkennungsmethoden abzielt. 

UNC5174 ist laut Mandiant und ANSSI als staatlich unterstützter Akteur mit Fokus auf Cyberspionage und Zugriffsvermittlung bekannt. Die aktuelle Infrastruktur nutzt Domain-Spoofing bekannter Marken wie Cloudflare oder Telegram, um Phishing-Opfer gezielt zu kompromittieren. Alle identifizierten Tools sind stark individualisiert und ermöglichen nach der Infektion umfassenden Remote-Zugriff auf betroffene Systeme. 

Der Hintergrund der Angriffe legt nahe, dass die Aktivitäten sowohl der Cyberspionage als auch dem Zugangshandel an kompromittierten Netzwerken dienen. Bereits bei den Olympischen Spielen 2024 wurde UNC5174 mit Angriffen auf Cloud-Dienste von Ivanti in Verbindung gebracht.