Telekommunikationsanbieter in Kirgisistan und Tadschikistan sind Ziel einer längerfristigen, klar strukturierten APT-Kampagne geworden. Sicherheitsforscher von Positive Technologies verknüpfen die beobachteten Techniken und Werkzeuge mit einem ostasiatischen Bedrohungsakteur aus dem Umfeld der UnsolicitedBooker-Familie. Besonders auffällig: der Einsatz der selten dokumentierten Backdoors LuciDoor und MarsSnake, die sich als legitime Microsoft-Komponenten tarnen.
Telekommunikationsunternehmen als strategisches Ziel von APT-Gruppen
Telekom-Betreiber zählen weltweit zu den attraktivsten Zielen staatlich unterstützter und krimineller Gruppen. Über kompromittierte Netze erhalten Angreifer Zugriff auf Verkehrs- und Verbindungsdaten, große Mengen personenbezogener Informationen und potenziell sogar auf Signalübertragungswege. Branchenberichte von Mandiant, ENISA und anderen zeigen seit Jahren, dass der Telekom-Sektor überproportional häufig von komplexen APT-Operationen betroffen ist, weil er als Sprungbrett in andere kritische Bereiche dient.
Erste Angriffswelle: Phishing-Kampagne gegen Provider in Kirgisistan
Die erste dokumentierte Welle setzte Ende September 2025 ein und richtete sich gegen kirgisische Telekommunikationsunternehmen. Angreifer versendeten Phishing-E-Mails von Hotmail- und Outlook-Konten und gaben sich als Interessenten für Mobilfunktarife aus. Den Nachrichten war ein Dokument beigefügt, das lediglich ein Bild mit der Aufforderung enthielt, „Inhalt aktivieren“ – ein klassischer Trick, um Benutzer zum Starten schädlicher Makros zu bewegen.
Die Vorlage der Dokumente war nicht immer passgenau auf das tatsächlich angeschriebene Unternehmen abgestimmt, blieb aber thematisch in der Domäne Telekommunikation. Dadurch wirkten die E-Mails im Kontext des geschäftlichen Alltagsverkehrs ausreichend plausibel, um zumindest einzelne Mitarbeitende zur Interaktion zu bewegen.
LuciDoor-Backdoor und Tarnung als OneDrive-Komponente
Nach Aktivierung des Makros wurde ein Loader mit dem Namen Perfrom.exe nachgeladen, versehen mit dem Icon von Microsoft OneDrive. Dieses Programm entschlüsselte eine per RC4 geschützte Konfiguration, öffnete ein verstecktes Fenster mit dem Titel OneDriveLauncher und lud anschließend die eigentliche Schadsoftware reflektiv direkt in den Arbeitsspeicher. Dadurch musste die Backdoor LuciDoor nicht als Datei auf dem Datenträger abgelegt werden, was die Erkennung durch signaturbasierte Scanner erschwert.
LuciDoor nahm Verbindung zu Command-and-Control-Infrastrukturen (C2) auf, versuchte bei Problemen mit der direkten Internetkommunikation auch den Weg über System-Proxys oder interne Fallback-Server und sammelte Systeminformationen. Die Backdoor unterstützt typischerweise Dateioperationen, Remote-Befehle und Datendiebstahl und dient damit als flexible Plattform für längerfristige Spionageaktivitäten.
Zweite Welle: MarsSnake und DLL Side-Loading mit Microsoft-Komponenten
In einer zweiten Welle Ende November 2025 setzten die Angreifer erneut auf kirgisische Telekom-Unternehmen, wechselten jedoch die Schadlast. Statt LuciDoor kam nun die Backdoor MarsSnake zum Einsatz, die zuvor nur am Rande in Berichten von ESET erwähnt worden war. Eine Besonderheit ist die Konfigurationsarchitektur: Steuerparameter können angepasst werden, ohne den ausführbaren Kern des Backdoors neu kompilieren zu müssen – ein Vorteil für flexible und lang anhaltende Kampagnen.
Zur Infektion nutzten die Angreifer DLL Side-Loading. Ein legitimer, signierter Microsoft-Prozess (Plasrv.exe) lud eine manipulierte PDH.DLL, die anstelle der echten Systembibliothek die MarsSnake-Backdoor ausführte. Windows vertraut signierten Binärdateien und lädt zugehörige Bibliotheken aus vordefinierten Verzeichnissen, was Angreifer ausnutzen, indem sie dort eine präparierte DLL platzieren. Solche Techniken umgehen häufig Sicherheitslösungen, die primär auf bekannte Schad-Binaries fokussiert sind.
Sprachliche Artefakte und chinesischer Tooling-Footprint
Die Analyse der Phishing-Dokumente zeigt ein heterogenes Sprachenbild: Während der sichtbare Inhalt auf Russisch verfasst war, fanden sich in den Dokumenteigenschaften Verweise auf Arabisch, Englisch und Chinesisch. Zudem deutet ein Feld explizit auf die Nutzung einer chinesischen Office-Lokalisierung oder auf ursprünglich chinesischsprachige Vorlagen hin.
Parallel dazu stellten die Forscher den Einsatz seltener Werkzeuge chinesischen Ursprungs und taktische Überschneidungen mit der APT-Gruppe UnsolicitedBooker fest. Fachgerecht wird jedoch betont, dass eine direkte Zuordnung (Attribution) allein auf Basis solcher Artefakte nicht belastbar ist. Werkzeuge können geteilt, geleakt oder bewusst imitiert werden; darüber hinaus besteht die Möglichkeit gezielter Falschspuren.
Dritte Angriffswelle: Fokusverschiebung nach Tadschikistan und aktualisiertes LuciDoor
Anfang 2026 verlagerte der Angreifer seinen Schwerpunkt auf Telekommunikationsanbieter in Tadschikistan. Die Taktik wurde geringfügig angepasst: Statt eines angehängten Dokuments enthielten die E-Mails nun Links zu schädlichen Dateien. Diese blendeten erneut ein Bild mit der Aufforderung ein, Inhalte zu aktivieren – diesmal jedoch in englischer Sprache, was auf eine mögliche Wiederverwendbarkeit der Vorlagen in anderen Regionen hindeutet.
Im Hintergrund blieb LuciDoor ein zentrales Werkzeug, allerdings mit aktualisierter Konfiguration. Die kontinuierliche Weiterentwicklung der Backdoor unterstreicht, dass der Akteur auf ein langfristiges, persistentes Eindringen in Telekom-Infrastrukturen abzielt und aktiv in die Wartung seines Toolings investiert.
Lehren für die Telekom-Sicherheit: Technische und organisatorische Schutzmaßnahmen
Die Kampagne bestätigt einen globalen Trend: Telekom-Unternehmen stehen im Fokus komplexer APT-Angriffe, bei denen Spionage, Datenabfluss und die Vorbereitung weiterführender Operationen im Vordergrund stehen. Um das Risiko zu reduzieren, sollten Betreiber mehrstufige E-Mail-Sicherheitsmechanismen implementieren, Makros aus externen Quellen standardmäßig blockieren und Mitarbeitende regelmäßig im Erkennen von Phishing schulen.
Ergänzend sind Application-Control-Lösungen (z. B. AppLocker oder vergleichbare Systeme) sinnvoll, um die Ausführung nicht autorisierter Programme und manipulierter DLLs einzuschränken. Ein gezieltes Monitoring von Prozess-Bibliotheksladungen trägt dazu bei, DLL Side-Loading frühzeitig zu erkennen. Auf Netzwerkebene sind Network-Detection-&-Response-Lösungen, aktuelle Threat-Intelligence-Feeds und die konsequente Sperrung bekannter C2-Domains und IP-Adressen entscheidend.
Telekom-Betreiber sollten ihre Infrastrukturen regelmäßig auditiert, fein granular segmentiert und eng mit nationalen CERTs, Branchenverbänden sowie Sicherheitsanbietern zusammenarbeiten. Ein strukturierter Austausch von Indikatoren einer Kompromittierung (IOC) zu LuciDoor, MarsSnake und ähnlichen Werkzeugen verkürzt die Verweildauer von Angreifern im Netz und begrenzt potenzielle Folgeschäden. Wer heute in kontinuierliches Monitoring, Härtung von E-Mail- und Endpunkt-Sicherheit und in Schulungsprogramme investiert, erhöht die Resilienz seiner Netze gegenüber den nächsten Wellen zielgerichteter APT-Kampagnen erheblich.
