In der IT-Infrastruktur einer russischen Regierungsorganisation ist ein bislang unbekannter modularer Backdoor namens ShadowRelay entdeckt worden. Die Analyse der Sicherheitsforscher von Solar 4RAYS zeigt, dass dieser Implantattyp speziell für langfristige, verdeckte Cyberspionage und die Steuerung von Systemen ohne direkten Internetzugang konzipiert ist. ShadowRelay wurde bereits im Rahmen einer zielgerichteten Attacke auf eine staatliche Einrichtung aktiv eingesetzt.
Neuer modularer Backdoor ShadowRelay und Verbindung zu APT-Gruppen
Der untersuchte Sicherheitsvorfall datiert auf das Jahr 2025 und wird mit hoher Wahrscheinlichkeit einer asiatischen APT-Gruppe Erudite Mogwai (auch bekannt als Space Pirates) zugeschrieben. Phasenweise fanden die Analysten zudem Spuren einer verwandten Gruppe mit der Bezeichnung Obstinate Mogwai, in deren Aktivitätsfenster ShadowRelay in die Umgebung eingebracht wurde.
Beide Gruppen werden bereits seit Jahren mit modularen Spionageplattformen wie ShadowPad in Verbindung gebracht – einem Framework, das unter anderem von Mandiant und Kaspersky in Supply-Chain- und Regierungsangriffen dokumentiert wurde. ShadowRelay fügt sich konsistent in diesen Trend ein: weg von monolithischen Trojanern hin zu flexiblen, erweiterbaren Frameworks, die präzise an eine einzelne Operation angepasst werden können.
Trend zu modularen Spionageplattformen
Modulare Backdoors wie ShadowPad oder nun ShadowRelay ermöglichen es Angreifern, nur jene Funktionen nachzuladen, die für eine bestimmte Phase der Operation nötig sind – etwa Datendiebstahl, Keylogging oder Netzwerkaufklärung. Das reduziert forensische Spuren und erschwert die Zuschreibung. Laut Analysen von Microsoft, CISA und verschiedenen Incident-Response-Anbietern gehören solche Frameworks inzwischen zum Standardrepertoire staatlich unterstützter APT-Gruppen.
Initiale Kompromittierung über ProxyShell-Schwachstellen in Microsoft Exchange
Der Einstiegspunkt in die betroffene Infrastruktur war ein ungepatchter Microsoft-Exchange-Server, der im Sommer 2024 in Betrieb genommen, aber nicht zeitnah aktualisiert wurde. Die Angreifer nutzten die seit 2021 bekannte ProxyShell-Exploitkette (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), die weltweit in zahlreichen Angriffskampagnen auf E-Mail-Infrastrukturen eingesetzt wurde und von Behörden wie CISA regelmäßig als kritische Bedrohung eingestuft wird.
Im Zuge der Analyse zeigte sich, dass der kompromittierte Exchange-Server von mehreren Gruppen parallel missbraucht wurde. Neben unterschiedlichen Werkzeugen fanden die Forscher auch ShadowPad Light (Deed RAT). Vor diesem Hintergrund wurde schließlich der neue modulare Backdoor ShadowRelay identifiziert, der zeitlich mit der vermuteten Aktivität von Obstinate Mogwai korreliert.
Architektur und Funktionsumfang von ShadowRelay
ShadowRelay agiert als modulare Plattform, bei der der Kernimplantat vor allem als „Rahmen“ dient. Die eigentlichen Spionage- und Steuerungsfunktionen werden über nachladbare Plugins bereitgestellt. In seiner Basisversion enthält der Backdoor daher kaum offensichtliche bösartige Funktionalität, kann jedoch auf Befehl des Operators zusätzliche Module aus dem Command-and-Control(C2)-Netz nachladen.
Eine zentrale Besonderheit ist die Fähigkeit von ShadowRelay, mit anderen Instanzen des eigenen Backdoors zu kommunizieren und deren Aktivitäten zu koordinieren. Dadurch lassen sich auch Systeme kontrollieren, die keinen direkten Internetzugang besitzen. Die Steuerungslogik und Angriffsszenarien liegen vollständig in den Plugins, was die Analyse erheblich erschwert: Selbst wenn das Hauptbinary entdeckt wird, bleibt der volle Funktionsumfang ohne die zugehörigen Module verborgen. In der untersuchten Umgebung konnten laut Solar 4RAYS keine Plugins gefunden werden, weshalb die Endziele der Operation unklar bleiben.
Stealth- und Anti-Analyse-Techniken
Um die Entdeckung zu vermeiden, nutzt ShadowRelay mehrere Tarn- und Anti-Analyse-Mechanismen. Dazu gehören Code-Injektionen in legitime Prozesse, die Wiederverwendung bereits geöffneter Netzwerkports und eine minimale Anzahl von Artefakten im Dateisystem. Außerdem prüft der Backdoor, ob er in einer Sandbox, unter einem Debugger oder in einer Analyseumgebung läuft. Die vollständige Payload wird nur dann aktiviert, wenn ein bestimmter Parameter aus der Konfiguration übergeben wird. Andernfalls kann ein Selbstlöschmechanismus ausgelöst werden, der forensische Untersuchungen deutlich erschwert.
Angriffe auf isolierte Netzsegmente
Besonders kritisch ist die Fähigkeit von ShadowRelay, Hosts in isolierten oder stark segmentierten Netzbereichen zu erreichen. Der Backdoor baut hierfür ein internes Netz aus „Server“- und „Client“-Instanzen auf. Eine kompromittierte Maschine im Internet-seitigen Segment agiert als Gateway und leitet Kommandos und gestohlene Daten zwischen dem externen C2-Server und Systemen in abgeschotteten Subnetzen weiter. Gerade dort befinden sich in Behörden und kritischer Infrastruktur häufig besonders sensible Daten oder industrielle Steuerungssysteme (ICS/SCADA).
Risiken für Staatssektor und kritische Infrastruktur
Die Gesamtschau der technischen Merkmale zeigt, dass ShadowRelay auf ein langfristiges, unauffälliges Eindringen ausgerichtet ist – typisch für Cyberspionage-Kampagnen von APT-Gruppen und weniger für opportunistische Cyberkriminalität. Die Fähigkeit, sowohl Perimeter-Systeme als auch tief im Netz liegende, isolierte Segmente zu beherrschen, macht das Tool für Regierungsbehörden, Rüstungsunternehmen, Energieversorger und andere Betreiber kritischer Infrastrukturen besonders gefährlich.
Im untersuchten Fall konnten die Angreifer nach bisherigen Erkenntnissen noch keine umfangreiche Exfiltration oder direkte Sabotage durchführen. Allein die Präsenz eines derart ausgereiften Werkzeugs in einer Regierungsumgebung belegt jedoch ein hohes Maß an Vorbereitung und ein strategisches Interesse an staatlichen und staatsnahen Zielen.
Empfohlene Gegenmaßnahmen und Best Practices
Solar 4RAYS empfiehlt Organisationen im öffentlichen Sektor und in der kritischen Infrastruktur, den Netzwerk- und Host-Schutz gezielt gegen modulare APT-Backdoors zu stärken. Im Incident-Report wird ein Snort-Regelwerk zur Erkennung der Netzwerkaktivität von ShadowRelay bereitgestellt, das in NIDS/NIPS-Systeme und SOC-Plattformen integriert werden sollte.
Zu den zentralen Maßnahmen gehören unter anderem:
- Konsequentes Patch-Management für Microsoft Exchange und alle öffentlich erreichbaren Systeme, insbesondere bekannte Exploitketten wie ProxyShell.
- EDR/XDR-Lösungen zum Aufspüren von Code-Injektionen, Prozessanomalien und ungewöhnlichen Netzwerkverbindungen.
- Überwachung des East–West-Traffics zur Erkennung lateraler Bewegung und verdeckter Kommunikation zwischen Netzsegmenten.
- Regelmäßige Aktualisierung und Umsetzung von Snort-Regeln, Signaturen und IoCs aus aktuellen Threat-Intelligence-Berichten.
- Gezielte Prüfungen isolierter Segmente auf versteckte „Brücken“ und verdeckte Kanäle über benachbarte Zonen.
Die Entdeckung von ShadowRelay unterstreicht, dass Angreifer kontinuierlich in hochentwickelte, modulare Spionageplattformen investieren, um auch stark segmentierte und vermeintlich geschützte Netze zu kompromittieren. Organisationen im Staatssektor und in der kritischen Infrastruktur sollten ihre Sicherheitsarchitektur regelmäßig hinterfragen, Monitoring und Incident Response stärken und ihre Teams im Umgang mit modernen APT-Werkzeugen schulen. Wer verdächtige Aktivitäten frühzeitig erkennt und reagiert, reduziert das Risiko von Datenabflüssen, Betriebsunterbrechungen und nachhaltigen Vertrauensverlusten erheblich.
