Kritische Infrastrukturen auf der ganzen Welt werden von hoch organisierten, staatlich geförderten „Spionage-Ökosystemen“ bedroht. Diese lose vernetzten, aber gut ausgestatteten Organisationen setzen eine Vielzahl von Instrumenten ein, um sowohl wichtige Dienste zu stören als auch Informationen zu sammeln. Einige arbeiten mit gezielten Denial-of-Service-Angriffen (DDoS) gegen Transport- und Kommunikationsknotenpunkte sowie gegen kommerzielle Lieferketten. Andere suchen nach geopolitischen, militärischen oder wirtschaftlichen Vorteilen, sind geschickt darin, sensible Informationen auszuspionieren und traditionelle Sicherheitsmaßnahmen zu umgehen. Alles ist ein Ziel und nirgendwo ist es sicher.
Wie sieht also ein Spionage-Ökosystem aus und wie funktioniert es? In diesem Blog zeigen wir ein aktuelles Beispiel.
Seit mehr als einem Jahrzehnt operieren die indische Regierung und die Verteidigungsorganisationen unter einem ständigen digitalen Schatten. Hinter den Kulissen hat ein eng vernetztes Spionage-Ökosystem – vor allem Transparent Tribe (APT36) und der eng verbundene SideCopy-Cluster – weiter sondiert, sich angepasst und fortgesetzt. Während einzelne Kampagnen kommen und gehen, bleibt das zugrundeliegende Ziel unverändert: das langfristige Sammeln von Informationen durch heimlichen, widerstandsfähigen Zugang, was die Bedeutung nachhaltiger Verteidigungsbemühungen unterstreicht.
Diese Akteure sind nicht auffällig. Stattdessen verlassen sie sich auf bewährte Taktiken, Speer-Phishing, waffenfähige Dokumente und eine Mischung aus benutzerdefinierten und Standard-Trojanern für den Fernzugriff, um sich unauffällig in die Zielumgebungen einzuschleichen. Im Laufe der Zeit hat sich ihr Instrumentarium jedoch stetig weiterentwickelt. Plattformübergreifende Nutzdaten, speicherresidente Ausführung und zunehmend verdeckte Befehls- und Kontrollkanäle bilden jetzt das Rückgrat eines Ökosystems, das eher auf Geduld als auf Schnelligkeit ausgelegt ist und die Verteidiger zu ständigen Anpassungen zwingt.
Eine Welle der Aktivität: Was wir beobachteten
Im vergangenen Monat haben die Aryaka Threat Research Labs mehrere aktive Kampagnen beobachtet, die auf indische Verteidigungs- und Regierungsorganisationen sowohl in Windows- als auch in Linux-Umgebungen abzielen. Der Fokus dieser Kampagnen unterstreicht die anhaltende Bedrohungslage, mit der die regionalen Sicherheitssektoren konfrontiert sind.
Windows-Kampagne: GETA RAT via Leben-aus-dem-Land-Missbrauch
Eine aktive Kampagne zielte auf Windows-Systeme mit Phishing-E-Mails ab, die LNK- und HTA-Dateien enthielten. Mit diesen Dateien wurde schließlich GETA RAT installiert, ein .NET-basierter Fernzugriffstrojaner, der häufig mit dem SideCopy-Cluster verbunden ist. Die Infektionskette missbraucht legitime Windows-Komponenten, darunter mshta.exe, XAML-Deserialisierung und die Ausführung von Nutzdaten im Speicher, um die traditionelle dateibasierte Erkennung zu umgehen.
Um die Persistenz zu erreichen, haben die Angreifer mehrschichtige Startmechanismen implementiert, die einen kontinuierlichen Zugriff gewährleisten, selbst wenn die Infektionskette unterbrochen wird. Das Ergebnis ist ein leichtes, aber dauerhaftes Standbein, das sich gut für eine ausgedehnte Aufklärung und das Sammeln von Informationen eignet.
Linux-Kampagne: ARES RAT und Persistenz auf Systemebene
Parallel dazu konzentrierte sich eine andere Kampagne auf Linux-Umgebungen – ein Bereich, in dem Transparent Tribe eine wachsende Reife gezeigt hat. Bei dieser Operation wurde ein Go-basierter Downloader verwendet, um ARES RAT zu installieren, ein Python-basiertes Fernzugriffstool, das in der Vergangenheit mit den Aktivitäten von APT36 in Verbindung gebracht wurde.
Nach der Installation führte ARES RAT eine automatische Systemprofilierung, rekursive Dateienzählung und strukturierte Datenexfiltration durch. Die Persistenz wurde durch systemd-Benutzerdienste erreicht, so dass die Malware Neustarts überleben und sich in den normalen Systembetrieb einfügen konnte. Diese Kampagne ist ein klares Zeichen dafür, dass man die Parität zwischen den Plattformen aufrechterhalten will und Linux nicht nur als Nebenprodukt behandelt.
Ein aufstrebendes Werkzeug: Desk RAT betritt die Bühne
Neben den bekannten Malware-Familien beobachteten die Aryaka Threat Research Labs auch Kampagnen, die Desk RAT, einen Go-basierten Fernzugriffstrojaner, über ein bösartiges PowerPoint Add-In (PPAM) verbreiteten. Die Hervorhebung dieses neuen Tools unterstreicht die ständige Innovation der Bedrohungsakteure und die Notwendigkeit aktualisierter Erkennungsstrategien.
Desk RAT zeichnet sich durch seinen Schwerpunkt auf Host-Telemetrie und Echtzeitüberwachung aus. Es sammelt detaillierte Systemdiagnosen und kommuniziert mit seinen Betreibern über WebSocket-basierte Befehls- und Kontrollfunktionen, wobei es strukturierte Heartbeat- und Client-Informationsmeldungen austauscht. Dieses Design ermöglicht ein kontinuierliches Situationsbewusstsein auf kompromittierten Hosts und unterstützt die langfristigen Überwachungsziele von APT36.
Das größere Bild
Zusammengenommen verstärken diese Kampagnen ein vertrautes, aber sich entwickelndes Narrativ. Transparent Tribe und SideCopy erfinden die Spionage nicht neu, sondern verfeinern sie. Durch die Ausweitung der plattformübergreifenden Abdeckung, die Nutzung von speicherresidenten Techniken und das Experimentieren mit neuen Verbreitungswegen operiert dieses Ökosystem weiterhin unterhalb des Grundrauschens und behält gleichzeitig seinen strategischen Fokus bei.
Für die Verteidiger ist klar: Dies sind keine isolierten Vorfälle, sondern koordinierte Bemühungen innerhalb eines ausgereiften Bedrohungsökosystems. Die Erkennung und Unterbrechung solcher Akteure erfordert plattformübergreifende Sichtbarkeit, Aufmerksamkeit für subtile Verhaltenssignale und die Einsicht, dass die größte Waffe der Angreifer Hartnäckigkeit und nicht Schnelligkeit ist, was Sicherheitsteams in die Lage versetzt, umfassende Maßnahmen zu ergreifen.
Lesen Sie den vollständigen Bericht hier