In den letzten Monaten wurde auf der Karte von Cyberespionage eine störende Bewegung beobachtet: ein Schauspieler als Eine Anfrage hat seinen Fokus bewegt, und jetzt ist es führende Operationen gegen Telekommunikationsanbieter in Kirgisistan und Tadschikistan, nach einer vorherigen Phase, in der seine Aktivitäten auf saudische Unternehmen konzentriert. Der Bericht der russischen Firma Positive Technologies liefert eine detaillierte Röntgenaufnahme dieser Intrusionen und beschreibt die Verwendung von zwei in C + + geschriebenen Hintertüren, die nach LuciDoor und MarsSnake, zusätzlich zu den Lastern, die sie an die kompromittierten Systeme liefern ( Bericht Positive Technologien)
Die von der Gruppe verwendete Angriffskette ist klassisch, aber effektiv: Die Angreifer senden Phishing-E-Mails, die ein Microsoft Office-Dokument als Decoy enthalten. Beim Öffnen erhält das Opfer die übliche Bitte, die Makros zu aktivieren - diese Schaltfläche " Inhalt aktivieren"dass so viele Probleme verursacht - und einmal aktiviert, das Makro fällt ein kleines Ladegerät in C + + (LuciLoad oder MarsSnakeLoader), das wiederum die entsprechende Hintertür installiert.
Aus technischer Sicht führen beide Back-Türen in Spionage-Kampagnen regelmäßige Funktionen aus: Sie sammeln Systemmetadaten, erstellen Kommunikation mit einem Befehls- und Steuerserver (C2), exfiltern Informationen in verschlüsselter Form und akzeptieren Remote-Anweisungen, um Befehle zu führen, zu schreiben oder Dateien zu extrahieren. Obwohl ihre Fähigkeiten ähnlich sind, zeigen Analysten taktische Veränderungen in der Zeit: der Schauspieler begann mit LuciDoor, an MarsSnake übergeben und, bereits 2026, an das erste Implantat zurückgekehrt, was die operativen Anpassungen und Wirksamkeitstests anzeigt.
In der Untersuchung gibt es weitere relevante Angaben. In einigen Zwischenfällen wurde MarsSnake ohne die Notwendigkeit eines Zwischenladegeräts eingesetzt: Der Ausgangspunkt war ein direkter Windows-Zugriff (* .doc.lnk), der ein Word-Dokument simulierte, ein Batch-Skript ausführte, das ein Visual Basic Script aufgerufen und damit die Hintertür gestartet hatte. Positive Technologien verbindet diese Technik mit einem öffentlichen Schreibgerät namens FTPlnk _ Phishing, aufgrund von Übereinstimmungen in forensischen Markern wie der Zeit der Erstellung der LNK und der Maschinenkennung.
Die Forscher weisen auch auf eine neugierige Mischung aus den Quellen der Werkzeuge hin: Viele scheinen Wurzeln oder Inspirationen in chinesischen Entwicklungen zu haben, die in den Kampagnen, denen die Opfer ausgesetzt sind, selten sind. Darüber hinaus nutzten die Angreifer in mindestens einem Fall einen engagierten Router als C2-Server und nach dem Bericht einen Teil ihrer Infrastruktur imitierten russischen Netzwerk-Funktionen, eine Taktik, die darauf abzielte, mögliche Untersuchungen zum tatsächlichen Ursprung des Angriffs abzulenken.
Dieser Schauspieler erscheint nicht aus dem Nichts: ESET hatte bereits 2025 UnsolicitedBooker dokumentiert, als er eine Operation entdeckte, die eine internationale Organisation in Saudi-Arabien mit MarsSnake beeinflusste. Die Geschichte der Gruppe, mit Aktivität seit dem 20. März 2023, zeigt eine breite geographische Orientierung einschließlich Asien, Afrika und dem Nahen Osten, und operative Spuren, die sich mit anderen Bedrohungsclustern überschneiden, wie Space Pirates und Kampagnen, die anderen Hintertüren wie Zardoor zugeschrieben werden.
Das Phänomen ist nicht auf diesen Schauspieler beschränkt. Gleichzeitig hat die Sicherheitsgemeinschaft die Subplantation und Mymetismustaktik zwischen Gruppen dokumentiert: ein Unternehmen wurde von russischen Forschern als Namensgeber geboren PseudoSticking, die scheint ein pro-ukrainisches Kollektiv namens Sticky Werewolf nachzuahmen und hat Angriffe gegen russische Organisationen mit Trojanern wie RemcosRAT und DarkTrack RAT gerichtet. F6-Analysten glauben, dass Ähnlichkeit bewusst ist und dass es trotz des Auftretens deutliche Unterschiede in der Infrastruktur und Methodik gibt, die keinen direkten Zusammenhang zwischen Clustern zeigen.
Ein weiterer Schauspieler, der als Cloud Atlas identifiziert wurde, hat Remote-Vorlagen in Word-Dokumenten verwendet, um bekannte Schwachstellen auszunutzen - ein Modus operandi, der sich an frühere Kampagnen erinnert - und Malware wie VBShower und VBCloud zu verbreiten. Das Solarunternehmen beschreibt, wie schädliche Dokumente entfernte Vorlagen von einem C2 laden und Schwachstellen wie CVE-2018-0802 ausnutzen, um die Engagement-Kette zu starten ( Solare Analyse)
Was in dieser Reihe von Zwischenfällen hervorgehoben wird, ist die Beharrlichkeit des ursprünglichen Vektors: Die Kombination von Social Engineering mit ophimatischen Geräten funktioniert weiterhin, weil Benutzer weiterhin Makro- oder Open-Links und Dateien aktivieren, ohne ihre Herkunft zu überprüfen. Darüber hinaus zeigen die Verwendung von C + + Lader und Varianten, die die Zwischenphase vermeiden, dass Angreifer nach Flexibilität suchen, um traditionelle, Signatur-basierte Verteidigungen zu zeichnen.
Für Organisationen, insbesondere für Telekommunikationsanbieter, die kritische Infrastruktur und große Datenmengen verarbeiten, sind die praktischen Erfahrungen klar. Es ist wichtig, die Richtlinien für die Verwaltung von eingehenden Dokumenten zu verschärfen, die Standard-Makros zu deaktivieren und die Teams auf bestimmten Dekalen zu erziehen (z.B. falsche Sätze oder Verträge für Abrechnungspersonal). Netzwerksegmentierung, die Verwendung von Erkennung von Anomalien im ausgehenden Verkehr und die Überwachung von Log-on-Ferngeräten, wie Routern, helfen, C2-Server mit kompromittierten Geräten zu erkennen.
Incident Response Teams sollten auch Artefakte Analyse-Routinen beibehalten: vergleichen Sie Metadaten (LNK-Datei-Erstellungsdaten, Maschinen-IDs), identifizieren persistente Ladegeräte und überprüfen, ob entfernte Vorlagen in Office-Dokumenten verwendet werden. Öffentliche Berichte von Sicherheitsunternehmen bleiben ein wertvoller Leitfaden für die Erkennung neuer Verpflichtungsindikatoren und Taktiken; neben der Positive Technologies-Analyse lohnt es sich, allgemeine Referenzmaterialien über Bedrohungen und Minderungspraktiken in Ressourcen wie dem ESET-Forschungsportal ( WeLiveSecurity) und historische Analyse von Kampagnen mit NKs, veröffentlicht von Darkness.
In einem Bild von Bedrohungen, in denen sich Akteure Taktiken ändern und einander kopieren, ist die Kombination von guten technologischen Praktiken, kontinuierliches Bewusstsein und Zugang zu Open-Source-Intelligenz die beste Verteidigung, um Invasionen zu stoppen, die, wie diejenigen, die UnsolicitedBooker, versuchen, nutzen eines menschlichen Fensters, um anspruchsvolle Implantate freizugeben.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...