Operation XENOFISCAL: Xeno RAT gegen afghanische Finanzbehoerden

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forscher von Seqrite Labs haben Details zu einer zielgerichteten Phishing-Kampagne offengelegt, die sich gegen das afghanische Finanzministerium, die provinziellen Finanzverwaltungen und paschtusprachige Beamte richtet. Nach Erkenntnissen der Forscher steckt mutmaßlich die pakistanische Gruppierung SideCopy hinter dem Angriff, die den Remote-Access-Trojaner Xeno RAT in der Open-Source-Version 1.8.7 einsetzt. Die Kampagne erhielt den Codenamen Operation XENOFISCAL. Organisationen des oeffentlichen Sektors in Afghanistan und Suedasien sollten ihre Infrastruktur umgehend auf Anzeichen einer Kompromittierung pruefen und die Filterung eingehender Dateianhaenge verschaerfen.

Infektionskette: vom ZIP-Archiv zur vollstaendigen Uebernahme

Wie der Seqrite-Labs-Forscher Dikshit Panchal berichtet, beginnt der Angriff mit der Zustellung eines ZIP-Archivs, das eine boesartige Windows-Verknuepfung (LNK-Datei) mit einem Namen in Paschtu enthaelt – der Hauptsprache in der afghanischen Verwaltungsbuero­kratie. Die Sprachauswahl deutet auf ein tiefes Verstaendnis der Zielumgebung durch die Angreifer hin.

Die technische Infektionskette ist wie folgt aufgebaut:

  1. Beim Oeffnen ruft die LNK-Datei das Systemprogramm mshta.exe auf, um eine entfernte HTA-Datei (HTML Application) von einer kompromittierten Domain einer afghanischen Bildungseinrichtung zu laden.
  2. Die HTA-Datei fuehrt verschleierten JavaScript-Code direkt im Arbeitsspeicher aus und minimiert so Spuren auf dem Datentraeger.
  3. Die Schadsoftware verankert sich ueber die Windows-Registrierung im System und tarnt sich als Prozess von Microsoft Edge.
  4. Mithilfe eines DLL-basierten Loaders wird Xeno RAT 1.8.7 installiert, waehrend dem Benutzer zur Ablenkung ein Koederdokument angezeigt wird.

Faehigkeiten von Xeno RAT

Xeno RAT ist ein Remote-Access-Trojaner mit offenem Quellcode, der ueber das TCP-Protokoll mit dem Command-and-Control-Server kommuniziert. Nach Angaben der Forscher verfuegt die in dieser Kampagne entdeckte Version 1.8.7 ueber einen umfangreichen Funktionsumfang:

  • Nachladen und Ausfuehren externer DLL-Module
  • Mitschneiden von Tastatureingaben und Erstellen von Screenshots
  • Ueberwachung der Zwischenablage
  • Zugriff auf Webcam und Mikrofon
  • Dateioperationen und Datenuebertragung an den Server
  • Netzwerktunneling ueber SOCKS5-Proxy
  • Erfassung von Informationen ueber installierte Antivirenloesungen
  • Erstellung geplanter Aufgaben fuer den Autostart
  • Entfernung der Persistenzmechanismen und Selbstloeschung

Die Kombination aus der Erfassung von Antivirus-Daten und dem SOCKS5-Tunneling weist darauf hin, dass die Operatoren ihre Taktiken gezielt an die Schutzmechanismen des Opfers anpassen und kompromittierte Hosts als Zwischenknoten zum Proxying des Datenverkehrs nutzen.

Bedrohungskontext: SideCopy und Transparent Tribe

Nach Erkenntnissen der Forscher ist SideCopy eine mutmaßlich mit Pakistan in Verbindung stehende Gruppierung, die im Rahmen der groesseren Struktur Transparent Tribe (auch bekannt als APT36) agiert. Es ist anzumerken, dass diese Attribution auf den Daten einer einzigen Forschungsquelle basiert und bislang nicht unabhaengig bestaetigt wurde.

Die Kampagne Operation XENOFISCAL wird als Teil eines groesseren Clusters boesartiger Aktivitaeten betrachtet, der sich gegen staatliche Stellen in Suedasien richtet. Im April 2025 wurde dieselbe Gruppierung Berichten zufolge mit Angriffen auf verschiedene Sektoren in Indien in Verbindung gebracht, bei denen Xeno RAT, Spark RAT und CurlBack RAT zum Einsatz kamen.

Parallel dazu wurden Hinweise auf eine separate Phishing-Operation bekannt, die auf die indische Militaerinfrastruktur abzielte. In dieser Kampagne sollen nach unbestaetigten Angaben boesartige Linux-.desktop-Dateien eingesetzt worden sein, die ueber WhatsApp mit Koederinhalten zum Thema Beschaffung von Panzerfahrzeugen verbreitet wurden. Die Infektionskette fuehrte zur Installation eines in Go entwickelten Implantats mit der Bezeichnung DeskRAT. Diese Informationen beruhen jedoch auf einer einzelnen Veroeffentlichung und beduerfen einer unabhaengigen Bestaetigung.

Auswirkungsbewertung

Die Haupt-Risikogruppe sind staatliche Finanzinstitutionen Afghanistans, darunter das Finanzministerium, die provinziellen Einnahmen- und Finanzverwaltungen sowie einzelne Beamte, die mit paschtusprachigen Dokumenten arbeiten. Eine Kompromittierung der Finanzbehoerden kann zum Abfluss von Haushaltsdaten, Informationen ueber internationale Transaktionen und interner Korrespondenz fuehren.

Die Nutzung einer kompromittierten Domain einer Bildungseinrichtung als Zwischenglied in der Lieferkette deutet darauf hin, dass auch die Infrastruktur des afghanischen Bildungssektors kompromittiert sein koennte und einer Pruefung bedarf.

Schutzempfehlungen

  • Blockierung der Ausfuehrung von mshta.exe ueber AppLocker- oder Windows Defender Application Control-Richtlinien auf Arbeitsplaetzen, bei denen dieses Tool nicht fuer Geschaeftsprozesse erforderlich ist.
  • Filterung von Anhaengen: Mail-Gateways so konfigurieren, dass ZIP-Archive mit LNK-Dateien blockiert werden. Dies ist einer der haeufigsten Vektoren in zielgerichteten Angriffen.
  • Ueberwachung der Registry: Erstellung verdächtiger Autostart-Schluessel verfolgen, insbesondere solcher, die sich als Microsoft-Edge-Prozesse tarnen.
  • Kontrolle des Netzwerkverkehrs: Auffaellige TCP-Verbindungen und SOCKS5-Tunnel identifizieren, die von Arbeitsplaetzen ausgehen, die derartige Verbindungen nicht initiieren sollten.
  • Audit geplanter Aufgaben: Auf dem Windows-Taskplaner nach ungewoehnlichen Aufgaben suchen, die von Xeno RAT zur Persistenz genutzt werden koennten.
  • Schulung des Personals: Zielgerichtete Sensibilisierung der Mitarbeiter in Finanzbehoerden zu den Risiken beim Oeffnen von ZIP-Anhaengen mit LNK-Dateien, insbesondere wenn diese von unbekannten Absendern stammen.

Organisationen des oeffentlichen Sektors in Afghanistan und Suedasien wird empfohlen, vorrangig ihre Arbeitsplaetze auf untypische HTA-Downloads ueber mshta.exe, verdächtige Registry-Schluessel, die Microsoft Edge imitieren, sowie ausgehende TCP-Verbindungen mit Anzeichen von SOCKS5-Tunneling zu untersuchen. Bei Feststellung eines dieser Indikatoren sollte der betroffene Host isoliert und eine umfassende Incident-Analyse durchgefuehrt werden.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen