Forschende von Palo Alto Networks Unit 42 haben einen Intrusions-Cluster, der unter der Bezeichnung CL-STA-1062 verfolgt wird, mit einer bisher nicht dokumentierten Backdoor namens TinyRCT in Verbindung gebracht. Laut dem Bericht greift die mutmaßlich chinesischsprachige Gruppe staatliche Behörden, staatliche Energieunternehmen und Betreiber kritischer Infrastruktur in Südostasien an. Im Zeitraum von Oktober bis Dezember 2025 wurden den Angaben zufolge mindestens 10 Organisationen in der Region kompromittiert. Behörden und Organisationen des Energie- und öffentlichen Sektors in Südostasien wird empfohlen, ihre Systeme auf die veröffentlichten Indikatoren einer Kompromittierung zu prüfen und das Monitoring von Webservern zu verstärken.
Profil der Gruppe und Chronologie der Kampagne
Nach Angaben von Unit 42 lässt sich die Aktivität von CL-STA-1062 mindestens bis März 2022 zurückverfolgen – frühe Operationen richteten sich gegen strategische Sektoren in Ostasien. Seit Mitte 2025 verlagerte sich der Fokus auf kritische Infrastrukturen in Südostasien. Im September 2025 drang die Gruppe dem Bericht zufolge in eine staatliche Behörde eines Landes der Region ein, setzte eine Webshell ein und exfiltrierte Daten von einem MS-SQL-Server. Parallel dazu wurde Netzwerkauskundschaftung gegen eine weitere Behörde desselben Landes betrieben, was auf die Vorbereitung lateraler Bewegungen hindeutet. In einem der Fälle haben die Angreifenden nach Erkenntnissen der Forschenden ein komplettes Verzeichnis mit dem Quellcode des Webservers abgezogen.
Wichtig zu beachten: Attribution und Angaben zum Umfang der Kampagne basieren auf einem einzigen Forschungsbericht und werden nicht durch unabhängige Quellen oder betroffene Organisationen bestätigt.
Technische Analyse von TinyRCT
TinyRCT ist ein leichtgewichtiger Remote-Access-Trojaner, der auf der .NET-Plattform entwickelt wurde und unter dem Dateinamen PerfWatson2.exe verbreitet wird. Laut der Analyse von Unit 42 verfügt die Backdoor über folgende Funktionen:
- Ausführung beliebiger Befehle auf dem kompromittierten Host
- Auflistung und Exfiltration von Dateien
- Aufnahme von Screenshots
- Remote-Steuerung des Systems
- Selbstlöschung zur Spurenverwischung
- Erkennung und Umgehung von Sandboxes
Netzwerkkommunikation
TinyRCT etabliert über das HTTP-Protokoll einen dauerhaften Kommunikationskanal zum Command-and-Control-Server und nutzt dazu ein Beaconing-Modell mit einem Standardintervall von 10 Sekunden. Für den Empfang von Anweisungen werden GET-Requests verwendet, für die Übertragung gestohlener Daten POST-Requests. Der Traffic wird mit dem Algorithmus AES-128 im CBC-Modus verschlüsselt.
Lieferkette
Die Auslieferung von TinyRCT erfolgt über ein bösartiges Archiv chrome_setup.zip, das drei Komponenten enthält: die legitime ausführbare Datei chrome_setup.exe, die Konfigurationsdatei chrome_setup.exe.config und die bösartige Bibliothek MyAppDomainManager.dll. Letztere startet einen Angriff des Typs AppDomainManager Injection (MITRE ATT&CK T1574.014) – eine Technik zum Ersetzen des .NET AppDomainManager, die es erlaubt, Schadcode im Kontext eines legitimen Prozesses zu laden. Die geladene DLL fungiert als Loader, der einen externen Server kontaktiert, um die eigentliche Backdoor abzurufen.
Werkzeugkasten und Taktiken
CL-STA-1062 setzt einen hybriden Werkzeugsatz ein, der Open-Source-Tools mit Eigenentwicklungen kombiniert. Zu den offenen Werkzeugen gehören nach Angaben der Forschenden:
- SoftEther VPN – zur Einrichtung von VPN-Tunneln und für laterale Bewegungen
- Mimikatz – zum Auslesen von Anmeldeinformationen
- Yuze – SOCKS5-Proxy-Tool
- VNT – VPN-Tool
Ein typisches Merkmal der Gruppe ist die Tarnung ihrer Tools als legitime Software. Schadprogramme werden unter den Dateinamen XDRAgent.exe, vmtools.exe und vmwared.exe abgelegt, wodurch sie Komponenten von VMware und Agenten von Systemen für Extended Threat Detection imitieren. Der initiale Zugriff auf Zielsysteme erfolgt über Webshells im ASPX-Format, die für die erste Aufklärung und das Aufbauen ausgehender Verbindungen zur Infrastruktur der Angreifenden genutzt werden.
Indikatoren einer Kompromittierung
Auf Basis der Daten aus dem Unit-42-Bericht wurden folgende netzwerkbezogene Indikatoren veröffentlicht:
- IP-Adresse des C2-Servers von TinyRCT:
45.32.113[.]172 - IP-Adresse des Download-Servers:
139.180.134[.]221 - Dateinamen:
PerfWatson2.exe,chrome_setup.zip,MyAppDomainManager.dll - Tarnnamen:
XDRAgent.exe,vmtools.exe,vmwared.exe
Bewertung der Auswirkungen
Am stärksten gefährdet sind staatliche Behörden, staatliche Energieunternehmen und Betreiber kritischer Infrastrukturen in Ländern Süd- und Ostasiens. Die Exfiltration von Webserver-Quellcode und Daten aus MS-SQL-Datenbanken kann zur Kompromittierung weiterer Systeme, zum Abfluss vertraulicher Informationen und zur Einrichtung eines Brückenkopfs für nachfolgende Angriffe auf verbundene Organisationen führen. Die Kombination aus zielgerichteten Angriffen auf kritische Infrastruktur und der Entwicklung eigener Malware weist auf eine persistente Bedrohung hin.
Empfehlungen zum Schutz
- Netzwerkprotokolle prüfen auf Verbindungen zu den IP-Adressen
45.32.113.172und139.180.134.221, insbesondere auf HTTP-Traffic mit einer Frequenz von etwa 10 Sekunden - Suche durchführen nach den Dateien
PerfWatson2.exe,MyAppDomainManager.dllund Archivenchrome_setup.zipauf Servern und Workstations - Webserver prüfen auf nicht autorisierte ASPX-Dateien, insbesondere in über das Web erreichbaren Verzeichnissen
- Verdächtige Prozesse identifizieren mit den Namen
XDRAgent.exe,vmtools.exe,vmwared.exe, die keinen legitimen VMware-Installationen oder XDR-Lösungen zuzuordnen sind - Verwendung von AppDomainManager einschränken in .NET-Anwendungen – Monitoring für das Laden ungewöhnlicher
.config-Konfigurationsdateien in unmittelbarer Nähe von ausführbaren Dateien einrichten - Kontrolle ausgehender VPN-Verbindungen verstärken, insbesondere von SoftEther VPN, sowie von SOCKS5-Proxy-Traffic aus dem Serversegment
- Zugriff auf MS-SQL-Server auditieren – Protokolle auf massenhafte Datenextraktionen prüfen
Das Auftauchen von TinyRCT im Arsenal von CL-STA-1062 zeigt den Übergang der Gruppe von der ausschließlichen Nutzung von Open-Source-Tools hin zur Entwicklung eigener Malware mit verschlüsseltem Traffic und Mechanismen zur Umgehung von Erkennung. Organisationen in den avisierten Sektoren sollten prioritär ihre Infrastruktur auf die veröffentlichten Indikatoren einer Kompromittierung prüfen, die Erkennung der Technik AppDomainManager Injection (T1574.014) konfigurieren und das Monitoring auf anomalen HTTP-Traffic mit dem für TinyRCT typischen Muster periodischer Anfragen sicherstellen.