Microsoft Security-Experten haben eine weitreichende Cyberkampagne aufgedeckt, bei der chinesische Hackergruppen das als Quad7 (auch Botnet-7777 oder CovertNetwork-1658 bekannt) bezeichnete Botnet für gezielte Angriffe einsetzen. Das Netzwerk umfasst etwa 8000 kompromittierte Router und wird hauptsächlich für Credential-Diebstahl sowie Password-Spray-Attacken verwendet.
Technische Details und Entdeckungsgeschichte des Quad7-Botnets
Die initiale Entdeckung des Botnets erfolgte im Oktober 2023 durch den Sicherheitsforscher Gi7w0rm, der die Malware aufgrund ihrer charakteristischen Nutzung des Ports 7777 identifizierte. Nachfolgende Analysen von Sekoia und Team Cymru zeigten, dass vorwiegend Router der Hersteller TP-Link, Asus, Ruckus, Axentra und Zyxel ins Visier genommen wurden.
Infektionsmethoden und technische Infrastruktur
Nach erfolgreicher Kompromittierung installieren die Angreifer spezialisierte Malware, die Telnet-basierte Remote-Zugänge ermöglicht. Besonders kritisch ist die Implementation von SOCKS5-Proxy-Servern, die den schädlichen Netzwerkverkehr verschleiern und damit traditionelle Erkennungsmechanismen umgehen.
Angriffsstrategie der chinesischen Threat Actors
Die Microsoft-Analyse identifiziert mehrere chinesische APT-Gruppen, darunter Storm-0940, als aktive Nutzer des Botnets. Die Angreifer verwenden eine ausgeklügelte Low-and-Slow-Taktik: In 80% der Fälle wird nur ein einzelner Loginversuch pro Konto und Tag durchgeführt, was die Erkennung durch Sicherheitssysteme erheblich erschwert.
Auswirkungen und Post-Exploitation-Aktivitäten
Nach erfolgreichem Eindringen in Zielnetzwerke erweitern die Angreifer ihre Präsenz durch die Extraktion weiterer Zugangsdaten und die Installation von Remote Access Tools (RATs). Die Kampagne zielt primär auf Informationsgewinnung im Rahmen von Cyberspionage-Operationen ab.
Die exakten initialen Kompromittierungsvektoren bleiben trotz intensiver Forschung teilweise im Dunkeln. Während Sekoia eine Zero-Day-Schwachstelle in OpenWRT als möglichen Angriffsvektor dokumentiert hat, deuten die Erkenntnisse auf multiple Eintrittspunkte hin. Sicherheitsexperten empfehlen Netzwerkadministratoren dringend, ihre Monitoring-Systeme zu verstärken und Router-Firmware konsequent zu aktualisieren. Zusätzlich sollten ungewöhnliche Netzwerkaktivitäten, insbesondere auf Port 7777, besonders aufmerksam überwacht werden.
