ShadowPad, Noodle RAT und gezielter Phishing: neue China-Kampagnen

Forscher haben eine neue chinesisch ausgerichtete Spionageaktivität SHADOW-EARTH-053 registriert, die auf Regierungs- und Verteidigungsstrukturen in Süd-, Ost- und Südostasien sowie auf ein NATO-Land (Polen) abzielt und sich auf die Ausnutzung verwundbarer Microsoft Exchange– und IIS-Server sowie die Installation des Backdoors ShadowPad stützt; parallel dazu führen andere Cluster, GLITTER CARP und SEQUIN CARP, Phishing-Operationen gegen Journalisten und Aktivisten durch, was in der Summe von Organisationen eine sofortige Stärkung des Patch-Managements für Internetportale und eine strikte Zugangskontrolle zu E‑Mail- und Cloud-Konten verlangt.

Technische Details: von verwundbaren IIS zu ShadowPad und Noodle RAT

Angriffskette von SHADOW-EARTH-053

Der Cluster SHADOW-EARTH-053 ist nach Beobachtungen von Trend Micro mindestens seit Dezember 2024 aktiv und verwendet ein für ausgereifte Spionageoperationen typisches Szenario: eine Kombination aus der Ausnutzung bereits bekannter Schwachstellen (N-day) und einer durchdachten Post-Exploitation.

Zentrale Elemente der Kette:

• Erstzugriff: Ausnutzung bekannter Schwachstellen in aus dem Internet erreichbaren Anwendungen auf Microsoft IIS und in Microsoft Exchange, einschließlich Chains vom Typ ProxyLogon. Dies ermöglicht die direkte Codeausführung im Kontext des Applikationsservers.
• Persistenz über Web Shell: Auf kompromittierten Servern wird die Web Shell Godzilla ausgerollt, was der MITRE ATT&CK‑Technik Web Shell entspricht. Einer solchen Shell genügt standardmäßiger HTTP/HTTPS‑Traffic, weshalb sie sich am Perimeter nur schwer herausfiltern lässt.
• Aufklärung und Vorbereitung: Über die Web Shell werden Befehle zur Inventarisierung von System und Netzwerk ausgeführt, um den Boden für die Installation komplexerer Remote-Access-Werkzeuge zu bereiten.
• Installation von ShadowPad: Die Endphase ist die Bereitstellung des modularen Backdoors ShadowPad mittels DLL‑Side‑Loading über eine legitime signierte ausführbare Datei, darunter AnyDesk. Dieses Vorgehen entspricht der MITRE ATT&CK‑Technik DLL Side-Loading und reduziert die Entdeckungswahrscheinlichkeit deutlich, da eine vertrauenswürdige Signatur und ein gewohntes Prozessverhalten ausgenutzt werden.

Ein separater Vorfall innerhalb der Kampagne demonstriert die Flexibilität der Werkzeuge: Für die Ausnutzung von Linux‑Umgebungen wurde der Exploit React2Shell für die Schwachstelle CVE-2025-55182 eingesetzt, was die Bereitstellung der Linux‑Variante von Noodle RAT (auch bekannt als ANGRYREBEL und Nood RAT) ermöglichte. Details zur Schwachstelle selbst sind in der NVD-Datenbank verfügbar: NVD: CVE-2025-55182.

Werkzeuge für Post-Exploitation und Tarnung

Nach der Etablierung der Persistenz geht SHADOW-EARTH-053 zur vertikalen und horizontalen Ausweitung der Kompromittierung über:

• Tunneling und Umgehung des Perimeters: Es kommen frei verfügbare Tunneling‑Werkzeuge wie IOX, GO Simple Tunnel (GOST) und Wstunnel zum Einsatz, die Steuerungsverkehr in gängige Protokolle (in der Regel HTTPS oder WebSocket) einkapseln und so Netzbeschränkungen umgehen.
• Packing von Binärdateien: Zur Erschwerung der statischen Analyse und der signaturbasierten Erkennung wird der Packer RingQ verwendet, was die Identifizierung der Backdoors auf Ebene des Dateiscans erschwert.
• Privilegienerweiterung: Für die Extraktion von Anmeldeinformationen kommt Mimikatz zum Einsatz, was der MITRE ATT&CK‑Technik Credential Dumping entspricht. Die Kompromittierung von Domänenkonten verwandelt einen einzelnen Servervorfall in eine Domänenkrise.
• Laterale Bewegung: Es wird ein eigener Launcher für das RDP‑Protokoll und eine C#‑Implementierung des Werkzeugs SMBExec unter dem Namen Sharp-SMBExec genutzt, was in die Techniken der Familie Lateral Movement over SMB fällt.

Konkrete IOC (IP‑Adressen, Domains, Hashes) werden in der Beschreibung der Kampagne nicht aufgeführt, was unterstreicht: Sich in diesem Fall ausschließlich auf statische Indikatoren zu verlassen, ist ineffektiv; der Schwerpunkt sollte auf verhaltensbasierter und logorientierter Überwachung liegen.

GLITTER CARP und SEQUIN CARP: Phishing als Instrument transnationalen Drucks

Eine Untersuchung von Citizen Lab beschreibt zwei weitere chinesisch orientierte Phishing-Aktivitäten — GLITTER CARP und SEQUIN CARP —, die sich gegen Journalisten, internationale Medien sowie Aktivisten aus der uigurischen, tibetischen, taiwanischen und hongkonger Diaspora richten. Diese Operationen nutzen keine komplexen Exploits, stützen sich jedoch auf hochentwickelte Social Engineering‑Methoden und die Wiederverwendung von Infrastruktur.

Wesentliche Merkmale:

• Präzise Imitation von Identitäten: Die Angreifer fälschen E‑Mails von realen Journalisten, Branchenkollegen und sogar im Namen großer Technologieunternehmen (z. B. Sicherheitsbenachrichtigungen) und schaffen so einen vertrauenswürdigen Kontext.
• Zugriffsmechanismen:
  • Abgriff von Zugangsdaten auf Phishing-Seiten;
  • Social Engineering, das das Opfer dazu bringt, einem Drittanbieter‑OAuth-Token Zugriffsrechte auf den Account einzuräumen;
  • Einsatz eines Phishing‑Kits nach dem adversary-in-the-middle‑Modell (AiTM), das die Übernahme von Sitzungstoken selbst bei aktivierter Multi-Faktor-Authentifizierung ermöglicht.
• Tracking des E‑Mail‑Öffnens: In GLITTER‑CARP‑Kampagnen werden Ein-Pixel-Bilder (1×1) verwendet, die von einer Domain der Angreifer geladen werden, um Informationen über das Gerät und den Lesevorgang der E‑Mail zu sammeln.

GLITTER CARP wird außerdem mit Phishing-Angriffen auf die taiwanische Halbleiterindustrie in Verbindung gebracht (unter dem Namen UNK_SparkyCarp in einer Untersuchung von Proofpoint), während SEQUIN CARP Ähnlichkeiten mit der Gruppe UTA0388 (Volexity) und dem Set TAOTH (Trend Micro) zeigt. Citizen Lab hebt infrastrukturelle und technische Überschneidungen zwischen mehreren Clustern hervor, was auf ein verteiltes Netz von Auftragnehmern hindeutet, die staatliche Interessen bedienen.

Bedrohungskontext und Ökosystem der Auftragnehmer

SHADOW-EARTH-053 weist Netzüberschneidungen mit anderen chinesischen Clustern auf, die als CL-STA-0049, Earth Alux und REF7707 verfolgt werden, und der Einsatz von React2Shell und Noodle RAT wird von der Google Threat Intelligence Group mit der Gruppe UNC6595 in Verbindung gebracht. Eine direkte operative Koordination zwischen SHADOW-EARTH-053 und dem nahe stehenden Cluster SHADOW-EARTH-054 beobachtet Trend Micro hingegen nicht, obwohl sich fast die Hälfte der Ziele überschneidet.

Citizen Lab wiederum verweist im Hinblick auf GLITTER CARP und SEQUIN CARP auf ein Modell des „verteilten Outsourcings“: Verschiedene Auftragnehmer führen sowohl klassische Spionageoperationen als auch Kampagnen digitalen Drucks gegen Diasporas und die Zivilgesellschaft durch, wobei die Ziele klar mit den Prioritäten der chinesischen Geheimdienste übereinstimmen. Dieser Ansatz erschwert eine verlässliche Attribution: Infrastruktur und Werkzeuge können zwischen Gruppen migrieren, und einzelne Entwickler und Operatoren sind gleichzeitig an mehreren Projekten beteiligt.

Einschätzung der Auswirkungen

Am stärksten gefährdet sind:

• Regierungs- und Verteidigungsstrukturen in Pakistan, Thailand, Malaysia, Indien, Myanmar, Sri Lanka, Taiwan und Polen, die Exchange und IIS mit Internetzugang betreiben und keinen etablierten Prozess für zeitnahes Patch-Management haben.
• Organisationen der Zivilgesellschaft und Medien, insbesondere solche, die Themen bearbeiten, die für die chinesische Regierung sensibel sind (Korruption, Minderheitenrechte, Geopolitik zu Taiwan und Hongkong).

Mögliche Folgen bei Untätigkeit:

• Langfristige verdeckte Kompromittierung der Infrastruktur mit Hilfe von ShadowPad und Noodle RAT, Datenabfluss von E‑Mail-Korrespondenz, Dokumenten, Beschaffungsplänen sowie militärischen oder außenpolitischen Szenarien.
• Kompromittierung der Domänenumgebung über Mimikatz und laterale Bewegung mit anschließender vollständiger Vertrauensverlust in die Active‑Directory‑Umgebung und der Notwendigkeit einer kostspieligen Neuimplementierung.
• Druck auf Journalisten und Aktivisten durch Abfangen von E‑Mails und internen Materialien, mögliche Diskreditierungskampagnen oder selektive „Leaks“ in einem für die Angreiferseite günstigen Kontext.

Praktische Empfehlungen zum Schutz

Für Betreiber von Exchange/IIS und Serverinfrastruktur

1. Patches umgehend aktualisieren:
   • die neuesten kumulativen Updates für Microsoft Exchange und alle auf IIS laufenden Anwendungen installieren;
   • prüfen, ob für CVE-2025-55182 auf Linux‑Systemen, auf denen betroffene Komponenten betrieben werden, Patches verfügbar sind (NVD: CVE-2025-55182).
2. Virtuelles Patching einsetzen, wenn Updates nicht schnell installiert werden können:
   • WAF oder IPS mit Regeln zum Blockieren bekannter Exploit‑Chains von ProxyLogon und React2Shell konfigurieren;
   • den Zugriff auf administrative Schnittstellen von Exchange und IIS auf VPN oder Listen vertrauenswürdiger IPs beschränken.
3. Threat Hunting nach Web Shells durchführen:
   • Verzeichnisse der virtuellen IIS‑Verzeichnisse sowie OWA/Exchange auf unbekannte ASPX-, JSP- und andere Skripte prüfen;
   • IIS‑Logs auf verdächtige Anfragen an wenig bekannte Skripte und lange verschlüsselte Parameter analysieren, wie sie für Godzilla typisch sind.
4. Erkennung von DLL Side-Loading und ungewöhnlichen Werkzeugen:
   • den Start von AnyDesk und anderen signierten Executables aus ungewohnten Pfaden und mit dem Laden fremder DLLs überwachen;
   • EDR/SIEM‑Regeln implementieren, um die Ausführung von Mimikatz, Tunneling‑Tools (GOST, Wstunnel, IOX) und Werkzeugen wie Sharp-SMBExec zu erkennen.
5. Stärkung der Authentifizierung:
   • den Einsatz lokaler Administratorkonten auf das Minimum beschränken;
   • RDP- und SMB‑Zugriff nur in den Segmenten zulassen, in denen dies gerechtfertigt ist, und dort verpflichtend Multi-Faktor-Authentifizierung einsetzen.

Für Organisationen mit hohem Phishing-Risiko (Journalisten, NGOs, Medien)

1. Schutz von E‑Mail- und Cloud-Konten verstärken:
   • phishing‑resistente Faktoren aktivieren (Hardware‑Tokens, Authenticator‑Apps) statt SMS;
   • veraltete Protokolle und Basic Authentication, wo möglich, deaktivieren.
2. Kontrolle von OAuth‑Anwendungen:
   • die Liste von Drittanbieter‑Anwendungen mit Zugriff auf E‑Mails und Dokumente regelmäßig überprüfen;
   • die Vergabe von Rechten wie „vollständiger Zugriff auf Postfach“ und „Dateiverwaltung“ für externe Anwendungen untersagen oder strikt einschränken.
3. Filterung und Erkennung von gezieltem Phishing:
   • ein E‑Mail‑Security‑Gateway mit Link- und Anhangsprüfung einsetzen;
   • die Erkennung von E‑Mails mit verdächtigen 1×1‑Bildern konfigurieren, die von unbekannten Domains geladen werden.
4. Schulung des Personals:
   • Szenarien mit unerwarteten E‑Mails vermeintlich von Kollegen, großen Medien oder „Sicherheitsdiensten“ von Unternehmen trainieren;
   • dazu ermutigen, bei allen Anfragen, die mit der Anmeldung am Konto oder der Bereitstellung eines Zugriffstokens verbunden sind, einen alternativen Kanal (Messenger, Telefon) zur Verifizierung zu nutzen.

Ein kritischer Schritt für Organisationen aus den genannten Branchen und Regionen besteht darin, in den nächsten Tagen verwundbare Einstiegspunkte (Exchange, IIS, React2Shell‑kompatible Services) zu schließen, eine gezielte Jagd nach Web Shells und DLL‑Side‑Loading auf den Servern durchzuführen und parallel dazu eine strikte Kontrolle des OAuth‑Zugriffs sowie Multi-Faktor-Authentifizierung für E‑Mail- und Cloud-Konten einzuführen – mit einer priorisierten Überprüfung aller Nutzer mit erhöhtem Risiko, also Regierungsbediensteter, Journalisten und Aktivisten.