Forschende von Kaspersky haben eine neue Aktivitätswelle der Gruppierung PassiveNeuron dokumentiert, die sich von Dezember 2024 bis August 2025 erstreckte. Ziel waren vor allem serverseitige Betriebssysteme, insbesondere Windows Server, in Regierungs-, Finanz- und Industrieumgebungen in Asien, Afrika und Lateinamerika. Der Fokus auf exponierte Serverrollen erhöht das Risiko, dass Angreifer kritische Knotenpunkte einer Unternehmensinfrastruktur kompromittieren.
Zeitleiste und Zielregionen der APT-Kampagne
Erste Spuren der Kampagne wurden im Juni 2024 entdeckt. Nach einer kurzen Pause intensivierten die Angreifer ihre Operationen ab Dezember 2024 und hielten den Zugriff bis in den Spätsommer 2025 aufrecht. Die Bandbreite der betroffenen Sektoren deutet auf eine strategische, langfristig angelegte Operation hin, deren Ziel fortgesetzter Zugriff auf sensible Systeme ist.
Angriffspfad über Microsoft SQL: Ausführung auf Servern und laterale Bewegung
In mehreren Fällen erfolgte die Remote-Ausführung von Befehlen über Microsoft SQL. Technisch geschieht dies häufig durch das Ausnutzen legitimer Datenbank-Funktionen wie xp_cmdshell oder benutzerdefinierter CLR-Assemblys, wodurch Systemkommandos im Kontext des Datenbankdienstes ausgeführt werden können. Diese Vorgehensweise passt zu MITRE ATT&CK-Mustern (Missbrauch legitimer Verwaltungsschnittstellen, serverseitige Ausführung, späterale Bewegung). Microsoft empfiehlt, xp_cmdshell standardmäßig deaktiviert zu lassen und nur streng kontrolliert zu nutzen (vgl. Microsoft Learn, SQL Server Surface Area Configuration).
Werkzeuge und TTPs: Cobalt Strike, Neursite und NeuralExecutor
PassiveNeuron kombinierte ein etabliertes Offensiv-Framework mit maßgeschneiderten Komponenten: Cobalt Strike diente für Zugangsaufbau und Beacons, ergänzt durch den modularen Backdoor Neursite und das .NET-Implantat NeuralExecutor. Diese Mischung erhöht die Flexibilität, reduziert Signaturtreffer und erschwert statische Analysen – ein Muster, das in Incident-Response-Fällen branchenweit regelmäßig beobachtet wird (u. a. durch CISA- und CERT-Berichte zu missbräuchlicher Cobalt-Strike-Nutzung).
Neursite: Modularer Backdoor mit Proxying und Tunnel-Funktionen
Neursite sammelt Systemtelemetrie, steuert Prozesse und tunnelt Netzwerkverkehr über bereits kompromittierte Knoten. Die Kommunikation erfolgt sowohl zu externen C2-Servern als auch zu internen kompromittierten Systemen. Das erleichtert laterale Bewegung, das Aufbauen belastbarer Proxy-Ketten und die Persistenz im Netzwerkperimeter.
NeuralExecutor: .NET-Implantat mit On-Demand-Modulen
NeuralExecutor ist ein .NET-Implantat, das zusätzliche .NET-Module bei Bedarf vom C2 nachlädt und ausführt. On-Demand-Lademechanismen erzeugen wenig Artefakte auf dem Datenträger und umgehen signaturbasierte Erkennung, während verhaltensorientierte Kontrollen gefordert sind – eine Technik, die in MITRE ATT&CK unter modularen Loadern und reflekt
