Seit 2024 steht die kritische Telekommunikationsinfrastruktur mehrerer Länder in Südamerika im Fokus einer mutmaßlich staatlich unterstützten Advanced Persistent Threat (APT). Laut einer aktuellen Analyse von Cisco Talos nutzt der Akteur UAT-9244 drei neuartige Implantate, um Windows-, Linux-Systeme und Edge-Geräte von Telekommunikationsanbietern systematisch zu kompromittieren.
UAT-9244 im Kontext von FamousSparrow und Salt Typhoon
Die von Cisco Talos beobachtete Aktivität wird als eigener Cluster mit der Bezeichnung UAT-9244 geführt, weist jedoch deutliche Überschneidungen mit der bekannten Gruppe FamousSparrow auf. FamousSparrow wiederum zeigt methodische Parallelen zu Salt Typhoon, einer chinesisch verorteten APT, die sich auf Angriffe gegen Telekommunikationsunternehmen spezialisiert hat.
Die Experten betonen, dass es bislang keine eindeutigen technischen Beweise für eine vollständige Gleichsetzung dieser Cluster gibt. Gleichwohl sprechen gemeinsame Taktiken, Techniken und Prozeduren (TTPs) sowie ähnliche Zielsektoren für eine enge Verbindung im weiteren chinesischen APT-Ökosystem.
Telekommunikationsunternehmen sind für staatlich gesteuerten Cyberspionage hochattraktive Ziele: Sie verwalten umfangreiche Metadaten, Standortinformationen, Signalisierungsdaten und stellen potenzielle Schnittstellen für Traffic-Interception dar. Angriffe auf Carrier eröffnen Angreifern nicht nur den Zugriff auf ein einzelnes Unternehmen, sondern auf ganze Kunden- und Partnerökosysteme.
Unklarer Erstzugang – Fokus auf verwundbare Server und Legacy-Systeme
Der initiale Angriffsvektor von UAT-9244 in der aktuellen Kampagne ist nicht abschließend geklärt. Frühere Beobachtungen zeigen jedoch, dass die Gruppe verwundbare Windows-Server und Microsoft-Exchange-Systeme ausnutzt und dort Webshells ablegt, um weitere Schritte zu orchestrieren. Dieses Vorgehen passt zu einem breiten Trend: Viele APT-Gruppen setzen hartnäckig auf nicht gepatchte, veraltete oder vergessene Dienste, die außerhalb des regulären Patch-Managements liegen.
Insbesondere Exchange-Schwachstellen der vergangenen Jahre haben gezeigt, dass schlecht gewartete E-Mail- und Kollaborationsinfrastrukturen zum leichten Einstiegspunkt in hochkritische Netzwerke werden können – ein Risiko, das im Telekomsektor durch die starke Vernetzung zusätzlich verstärkt wird.
TernDoor: Windows-Backdoor mit DLL-Sideloading und Kernel-Treiber
Lade- und Persistenzmechanismen erschweren Detektion
Für Windows-Umgebungen setzt UAT-9244 auf das Implantat TernDoor, eine Weiterentwicklung der bereits beschriebenen Backdoors CrowDoor und SparrowDoor. TernDoor wird mittels DLL-Side-Loading geladen: Ein legitimer Prozess ruft eine manipulierte Bibliothek auf, die den eigentlichen Schadcode im Arbeitsspeicher ausführt und so klassische dateibasierte Scans umgeht.
In der von Talos analysierten Variante missbrauchen die Angreifer die legitime Datei wsprint.exe, die eine präparierte BugSplatRc64.dll lädt. Diese entschlüsselt den Payload und startet ihn direkt im Speicher. Persistenz erreicht TernDoor über geplante Aufgaben oder Registry-Run-Keys, sodass der Backdoor beim Systemstart automatisch aktiv wird.
Eine Besonderheit ist der in TernDoor integrierte Windows-Treiber, mit dem Prozesse pausiert, fortgesetzt oder beendet werden können. Damit erhält der Angreifer feingranulare Kontrolle über Sicherheitssoftware und Systemprozesse und kann eigene Komponenten verschleiern. Über den einzigen dokumentierten Parameter -u lässt sich der Backdoor inkl. Artefakten vollständig entfernen – hilfreich, um Operationen bei Bedarf spurlos zu beenden.
Nach erfolgreicher Ausführung prüft TernDoor, ob er in den Prozess msiexec.exe injiziert wurde, entschlüsselt seine C2-Konfiguration und baut einen verschlüsselten Kommunikationskanal auf. Darüber kann der Operator Prozesse starten, beliebige Kommandos ausführen, Dateien lesen und schreiben, Systeminformationen sammeln und den Treiber nachladen, um die Tarnung zu perfektionieren.
PeerTime: Linux-P2P-Backdoor mit BitTorrent für Server und Embedded-Geräte
Docker-Erkennung, chinesische Artefakte und P2P-Infrastruktur
In der Linux-Welt nutzt UAT-9244 das Implantat PeerTime, das peer-to-peer (P2P) arbeitet und für mehrere Architekturen (ARM, AARCH, PPC, MIPS) verfügbar ist. Damit adressiert die Gruppe nicht nur klassische Linux-Server, sondern auch Router, Appliances und andere Embedded-Systeme in Telekommunikationsnetzen.
PeerTime wird über ein Shell-Skript ausgerollt, das zunächst einen ELF-basierten Instrumentor und anschließend das eigentliche Implantat nachlädt. Der Instrumentor überprüft, ob Docker installiert ist, u. a. über die Befehle docker und docker -q. Bei positivem Ergebnis wird ein spezieller Loader gestartet. In den ELF-Binärdateien fanden die Forscher Debug-Strings in vereinfachtem Chinesisch, was auf einer chinesischsprachigen Entwicklerbasis hindeutet.
Die Aufgabe des Loaders besteht darin, die finale PeerTime-Nutzlast zu entschlüsseln und zu dekomprimieren und sie ausschließlich im Speicher auszuführen. Cisco Talos unterscheidet eine ältere C/C++-Variante und eine neuere Implementierung in Rust. PeerTime tarnt sich als unauffälliger Prozess und nutzt das BitTorrent-Protokoll, um Konfigurationsdaten und Dateien von benachbarten P2P-Knoten zu beziehen. Diese Architektur erhöht die Resilienz gegen Domain-Takedowns und Infrastruktur-Sinkholing, weil kein einzelner zentraler C2-Server ausgeschaltet werden kann.
BruteEntry: Edge-Geräte als skalierbare Brute-Force-Plattform
Golang-Orchestrator und systematisiertes Credential-Stuffing
Auf Servern der Angreifer identifizierten die Forscher zudem eine Sammlung von Skripten und Payloads rund um das Modul BruteEntry, das auf die Kompromittierung von Edge-Geräten abzielt. Diese Systeme werden in der von UAT-9244 genutzten Operational Relay Box (ORB)-Architektur zu skalierbaren Proxy-Knoten ausgebaut, von denen aus Brute-Force-Angriffe auf Postgres-, SSH- und Tomcat-Server durchgeführt werden.
Die Verteilung erfolgt über ein Shell-Skript, das zwei in Go entwickelte Komponenten installiert: einen Orchestrator und den eigentlichen Scanner. Der Orchestrator lädt BruteEntry nach, woraufhin sich das Modul mit der C2-Infrastruktur verbindet, einen IP-Zielkatalog erhält und automatisiert Passwortangriffe ausführt. Jede Login-Versuch wird protokolliert und an den Kontrollserver zurückgemeldet.
Bemerkenswert ist die strukturierte Ergebnisübermittlung in den Feldern "success" und "notes". Bei gescheiterten Angriffen wird im Feld "notes" der Text “All credentials tried” hinterlegt. So können die Operatoren gescheiterte Ziele systematisch aussortieren und ihre Ressourcen auf erfolgversprechende bzw. bereits kompromittierte Systeme konzentrieren – ein deutliches Indiz für einen hochgradig industrialisierten Angriffsansatz.
Empfohlene Schutzmaßnahmen für Telekommunikationsanbieter und Betreiber verteilter Infrastrukturen
Die Kombination aus Windows-Backdoor mit Kernel-Treiber, Linux-P2P-Implantat und Brute-Force-Modul für Edge-Geräte zeigt den hohen Reifegrad und die Ressourcenausstattung von UAT-9244. Für Telekommunikationsunternehmen und andere Betreiber verteilter Infrastrukturen ergeben sich daraus konkrete Handlungsschwerpunkte.
Prioritär ist ein konsequentes Patch- und Vulnerability-Management für Windows Server, Microsoft Exchange und Linux-Systeme. Nicht produktiv genutzte Dienste sollten konsequent abgeschaltet, angreifbare Legacy-Komponenten schrittweise abgelöst und Exponierungen ins Internet minimiert werden. In Container-Umgebungen wie Docker sind restriktive Rechtekonzepte, signierte Images und eine kontinuierliche Integritätsüberwachung essenziell.
Auf Netzwerkebene helfen Segmentierung und Zero-Trust-Ansätze, das Risiko lateraler Bewegung einzuschränken. Sicherheitsverantwortliche sollten insbesondere auf ungewöhnlichen P2P- und BitTorrent-Traffic in sensiblen Segmenten achten und Protokolle, die dort keinen legitimen Zweck erfüllen, grundsätzlich blockieren.
Für Edge-Geräte und Administrationszugänge ist eine Kombination aus starker Authentifizierung (MFA), Schlüssel-basiertem SSH-Zugang, Deaktivierung von Standard-Accounts und Rate-Limiting gegen Brute-Force-Versuche empfehlenswert. Logging und SIEM-Korrelation sollten auf Muster wie wiederholte Fehlanmeldungen, verdächtige Prozesse (z. B. unerwartete wsprint.exe– oder msiexec.exe-Aktivität) sowie Anzeichen für DLL-Side-Loading ausgerichtet werden.
Der Fall UAT-9244 verdeutlicht, dass moderne, staatlich verortete APT-Gruppen Plattformgrenzen überschreiten und Windows-, Linux- und Netzwerkequipment gleichermaßen ins Visier nehmen. Organisationen, insbesondere im Telekommunikationssektor, sollten ihre Sicherheitsarchitektur ganzheitlich ausrichten, regelmäßig Audits und Red-Teaming-Übungen durchführen und Indikatoren kompromittierter Systeme (IoCs) aus Quellen wie Cisco Talos zeitnah in ihre Erkennungsregeln integrieren. Wer jetzt in Härtung, Überwachung und Incident-Response-Fähigkeiten investiert, reduziert die Angriffsfläche maßgeblich und erhöht die Chance, komplexe APT-Kampagnen frühzeitig zu erkennen und einzudämmen.
