Eine Regierungsorganisation in Suedostasien ist Ziel einer umfangreichen Cyberspionage-Kampagne geworden, die von Palo Alto Networks Unit 42 als „komplex und gut ausgestattet“ eingestuft wird. Besonders brisant: Gleich drei voneinander getrennte, aber offenbar koordinierte Angreifer-Cluster mit Bezug zu China agierten parallel gegen dasselbe Regierungsnetz.
Koordinierte Cyberangriffe auf staatliche Infrastruktur
Die Analysten von Unit 42 identifizierten drei Cluster – Mustang Panda, CL-STA-1048 und CL-STA-1049. Trotz unterschiedlicher Toolchains und Vorgehensweisen zeigen sie deutliche Überschneidungen bei den TTPs (Tactics, Techniques and Procedures), wie sie in öffentlichen Berichten zu chinesisch ausgerichteten APT-Gruppen (Advanced Persistent Threats) beschrieben werden.
Ziel der Kampagne war erkennbar nicht eine einmalige Störung, sondern der dauerhafte Aufbau verdeckten Zugriffs auf die interne Regierungsinfrastruktur. Dieses Muster ist typisch für Cyberspionage: Angreifer versuchen, sich über Monate oder Jahre unentdeckt in Netzwerken zu halten, um sensible Informationen, politische Kommunikation und Strukturdetails staatlicher Systeme auszuleiten.
Drei Angreifer-Cluster mit Bezug zu China
Mustang Panda: USB-basierte Infektion und mehrstufige Loader-Kette
Die Aktivität von Mustang Panda in dieser Kampagne wurde zwischen dem 1. Juni und 15. August 2025 beobachtet. Zentrales Element der Infektionskette ist die USB-Malware HIUPAN (auch bekannt als USBFect, MISTCLOAK oder U2DiskWatch), die sich über Wechseldatenträger verbreitet und damit insbesondere teilweise isolierte oder stark segmentierte Netze erreicht.
Nach der Ausführung nutzt HIUPAN eine manipulierte Bibliothek namens Claimloader, um den Backdoor-Trojaner PUBLOAD nachzuladen. Laut Unit 42 setzen die Angreifer Claimloader mindestens seit Ende 2022 gezielt gegen Regierungsstellen auf den Philippinen ein. Im aktuellen Fall diente das Modul dazu, PUBLOAD unauffällig zu etablieren und zusätzlich den seit Jahren mit Mustang Panda assoziierten Backdoor COOLCLIENT zu installieren.
COOLCLIENT stellt den Operatoren umfangreiche Spionagefunktionen bereit: Dateiupload und -download, Keylogging, Traffic-Tunnelung und das Auslesen detaillierter Netzwerkkonfigurationen. Solche Fähigkeiten erlauben es, kompromittierte Hosts sowohl zur Datensammlung als auch als interne Sprungbrettsysteme zu nutzen – ein Vorgehen, das auch in globalen Analysen von Mandiant und im Verizon Data Breach Investigations Report für staatlich motivierte Angreifer dokumentiert ist.
CL-STA-1048: „Laute“ Toolsets als Tarnung
Der Cluster CL-STA-1048 fällt durch einen ausgesprochen „lauten“ Werkzeugmix auf: zahlreiche unterschiedliche Malware-Samples, Skripte und Hilfsprogramme kommen parallel zum Einsatz. Diese künstliche „Geräuschkulisse“ erschwert die forensische Rekonstruktion der Angriffskette und die eindeutige Zuordnung einzelner Artefakte zu einer definierten Gruppe – eine bekannte Technik zur Verschleierung professioneller APT-Operationen.
CL-STA-1049: Hypnosis Loader und FluffyGh0st RAT
Der dritte Cluster, CL-STA-1049, nutzt einen neuen DLL-Loader namens Hypnosis Loader, der über DLL Side-Loading in legitime Prozesse eingeschleust wird. Beim DLL Side-Loading missbrauchen Angreifer vertrauenswürdige Anwendungen, um eine schädliche Bibliothek mitzuladen, die sich als legitime Datei ausgibt. Ziel dieses Schritts ist die Installation von FluffyGh0st RAT, einer Remote-Access-Trojaner-Familie, die den Angreifern einen persistenten und schwer erkennbaren Fernzugriff verschafft.
Der initiale Infektionsvektor für CL-STA-1048 und CL-STA-1049 ist bislang nicht eindeutig geklärt. Das Zusammenspiel aus DLL Side-Loading, mehrstufigen Loadern und vollwertigen RATs entspricht jedoch typischen Mustern für verdeckt angelegte Langzeitoperationen in hochgesicherten Netzwerken.
Malware-Oekosystem: USB-Malware, Loader und RATs im Zusammenspiel
Im Rahmen der Kampagne wurden zahlreiche Malware-Familien identifiziert, darunter HIUPAN, PUBLOAD, EggStremeFuel (RawCookie), EggStremeLoader (Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, RawCookie, Hypnosis Loader und FluffyGh0st RAT. Diese Vielfalt deutet auf umfangreiche Ressourcen, Entwicklungsaufwand und Zugriff auf ein breit gefächertes Arsenal hin, wie es für staatlich unterstützte Angreifergruppen typisch ist.
Besonders relevant sind USB-orientierte Schadprogramme und Module, die sich als legitime Bibliotheken tarnen. Sie erlauben es, auch Netzwerke mit stark eingeschränktem Internetzugang zu kompromittieren – etwa in Regierungsbehörden oder kritischen Infrastrukturen, in denen Wechseldatenträger trotz restriktiver Policies weiterhin für den Datenaustausch genutzt werden.
TTPs im Kontext: Fokus auf verdeckte, langfristige Cyberspionage
Die bei allen drei Clustern beobachteten TTPs – darunter USB-Wurmfunktionen, DLL Side-Loading, mehrstufige Loader und modulare RATs – passen zu bekannten china-nahen Spionagekampagnen, die in zahlreichen Berichten internationaler Sicherheitsanbieter dokumentiert sind. Im Vordergrund steht klar der Informationsgewinn, nicht Sabotage oder Erpressung.
Branchenberichte zeigen, dass gerade öffentliche Verwaltungen und diplomatische Einrichtungen weltweit zu den am stärksten von Cyberspionage betroffenen Sektoren zählen. Die hier beschriebene Kampagne bestätigt diese Entwicklung und unterstreicht, dass Langzeit-Persistenz und laterale Bewegung innerhalb von Netzen zu den Kernzielen moderner APT-Operationen gehören.
Konsequenzen und Handlungsempfehlungen fuer staatliche Stellen und KRITIS
Aus dem Vorfall ergeben sich mehrere sicherheitsrelevante Trends: Erstens nimmt die Bedeutung von USB-Angriffen in isolierten oder stark segmentierten Umgebungen deutlich zu. Zweitens wird DLL Side-Loading immer gezielter genutzt, um signatur- und reputationsbasierte Schutzmaßnahmen zu umgehen. Drittens zeigt sich der klare Schwerpunkt auf Cyberspionage mit minimaler Auffälligkeit statt auf destruktiven Angriffen.
Organisationen im Regierungs- und KRITIS-Umfeld sollten daher ihre Bedrohungsmodelle anpassen. Notwendig sind strenge Richtlinien fuer USB-Geräte (z. B. Whitelisting, Verschlüsselung, automatisches Scanning, physische Kontrolle), der Einsatz von EDR/XDR-Lösungen mit verhaltensbasierter Erkennung sowie ein etabliertes Threat-Hunting-Programm, das gezielt nach Mustern von DLL Side-Loading, ungewöhnlichen Loader-Ketten und RAT-Kommunikation sucht.
Ebenso wichtig sind regelmäßige Sicherheitsaudits, technische Red-Teaming-Übungen und Awareness-Schulungen, die reale APT-Szenarien abbilden. Wer seine eigenen Schwachstellen, internen Verbreitungswege von Malware und typische Angriffsvektoren versteht, erschwert es professionellen Angreifern erheblich, über Jahre hinweg unentdeckt in sensiblen Regierungs- und Unternehmensnetzwerken zu operieren.
