Eine umfassende Cyberspionage-Kampagne, die der mutmaßlich staatlich unterstützten chinesischen Gruppe UNC2814 zugeschrieben wird, ist von der Google Threat Intelligence Group, Mandiant und Partnern gestoppt worden. Besonders brisant: Die Angreifer setzten auf die Google Sheets API als verdeckten Command-and-Control-(C2)-Kanal, um ihre Schadsoftware zu steuern und ihren Netzwerkverkehr im legitimen Cloud-Traffic zu verbergen.
Globale Cyberspionage gegen Telekommunikationsanbieter und Behörden
Nach Angaben von Google war UNC2814 spätestens seit 2023 aktiv und führte eine gezielte Spionagekampagne gegen Telekommunikationsunternehmen und staatliche Organisationen in Afrika, Asien, Nord- und Südamerika. Bestätigt ist die Kompromittierung von mindestens 53 Organisationen in 42 Ländern; in über 20 weiteren Staaten fanden Analysten Hinweise auf mögliche Infektionen.
Telekom-Provider und Regierungsstellen sind klassische Hochwertziele staatlich motivierter Angriffe. Wer die Netzinfrastruktur kontrolliert, kann Kommunikationsströme überwachen, Metadaten und Inhalte abgreifen und langfristig strategische Informationsvorteile aufbauen. Öffentliche Reports von Google, Mandiant und anderen Threat-Intelligence-Anbietern zeigen seit Jahren, dass gerade dieser Sektor überproportional häufig von APT-Gruppen angegriffen wird.
GRIDTIDE: C-Backdoor mit Google Sheets als verdecktem Kontrollserver
Google Sheets API als Command-and-Control-Infrastruktur
Im Zentrum der Operation stand die in C entwickelte Backdoor GRIDTIDE. Ihr wesentliches Merkmal ist die Nutzung von Google Sheets als vollwertige C2-Infrastruktur. Über ein Google Service Account mit hartcodiertem privaten Schlüssel authentifizierte sich die Malware direkt gegenüber den Google-APIs. Eine vermeintlich harmlose Tabelle wurde so zum Steuercockpit der Angreifer.
Nach der Initialisierung löschte GRIDTIDE den Inhalt der ausgewählten Tabelle, sammelte Systeminformationen zum kompromittierten Host (Betriebssystem, Konfiguration, Umgebung) und schrieb diese gebündelt in die Zelle V1. Die Zelle A1 fungierte als „Befehlszentrale“: GRIDTIDE fragte diese regelmäßig über die API ab, um neue Instruktionen zu erhalten. Daten wurden Base64-codiert, wodurch der Traffic wie normale, verschlüsselte Cloud-Kommunikation aussah.
Ergebnisse von Kommandos und exfiltrierte Dateien legte die Schadsoftware in den Zellen A2–An ab. Aus Sicht der Operatoren reichte damit der Zugriff auf ein Online-Spreadsheet, um kompromittierte Systeme global zu steuern – ohne eigene C2-Server-Infrastruktur und mit dem Schutzschirm eines großen Cloud-Anbieters.
Funktionalität, Polling-Logik und Tarnung des C2-Traffics
GRIDTIDE konnte beliebige bash-Kommandos ausführen, Dateien auf das Zielsystem hochladen und Daten exfiltrieren. Tauchte in Zelle A1 ein neuer Befehl auf, wurde dieser abgearbeitet; anschließend wurde der Zellinhalt durch einen Statusstring ersetzt, um auffällige Einträge bei einer manuellen Sichtprüfung der Tabelle zu vermeiden.
Für die Steuerung implementierten die Angreifer eine adaptive Polling-Logik: Bei Inaktivität versuchte GRIDTIDE bis zu 120 Abfragen im Sekundentakt. Blieben diese erfolglos, wechselte die Malware in einen „Low-Noise“-Modus mit zufälligen Intervallen von 5 bis 10 Minuten. Dadurch ähnelte das Kommunikationsmuster unauffälligen Hintergrundabfragen an Cloud-Dienste und war in klassischen Log-Analysen schwer zu erkennen.
Taktiken von UNC2814: Living-off-the-Land und SoftEther VPN Bridge
Neben GRIDTIDE nutzte UNC2814 intensiv living-off-the-land-Techniken. Dabei bedienen sich Angreifer vorhandener, legitimer Systemwerkzeuge – etwa Standard-Utilities unter Linux – statt eigens entwickelter Tools. Diese Strategie reduziert forensische Spuren und erschwert Signatur-basiertes Erkennen, da viele Aktionen wie normale Administratoraktivitäten wirken.
Für die laterale Bewegung in Unternehmensnetzen setzte die Gruppe überwiegend auf SSH. Zur Persistenz richteten die Angreifer ihren Code als Systemdienst ein, der mit dem Systemstart automatisch geladen wurde. In zahlreichen Fällen installierte UNC2814 zusätzlich SoftEther VPN Bridge, eine Open-Source-VPN-Lösung, die bereits in früheren Kampagnen mit chinesischen Akteuren verknüpft wurde. Solche VPN-Bridges ermöglichen stabile, verdeckte Tunnel in die Infrastruktur der Opfer und umgehen oft klassische Perimeter-Schutzmechanismen.
In mindestens einem dokumentierten Vorfall wurde GRIDTIDE auf einem System entdeckt, das personenbezogene Daten verarbeitete. Zwar liegen keine eindeutigen Belege für eine erfolgreiche Datenabflusssituation vor, doch allein die Präsenz einer Backdoor auf solchen Systemen stellt ein erhebliches Risiko für Datenschutz, Compliance und Meldepflichten nach Regularien wie der DSGVO dar.
Reaktion von Google und sicherheitsrelevante Lehren für Unternehmen
Zur Beendigung der Operation deaktivierte Google sämtliche Cloud-Projekte von UNC2814, entzog den betroffenen Service-Accounts den Zugriff auf die Google Sheets API und leitete zugehörige Domains in ein Sinkhole um. Dadurch wird verbliebener Malware-Traffic auf von Analysten kontrollierte Server umgeleitet, was sowohl die weitere Steuerung infizierter Systeme unterbindet als auch zusätzliche Telemetriedaten für die Aufklärung liefert. Betroffene Organisationen wurden informiert und bei der Incident Response unterstützt.
Google stuft die Aktivitäten von UNC2814 als eine der umfangreichsten und effektivsten Cyberspionagekampagnen der vergangenen Jahre ein. Gleichzeitig ist davon auszugehen, dass die Gruppe ihre Infrastruktur wiederaufbaut – möglicherweise auf alternativen Cloud-Plattformen oder mit angepassten C2-Protokollen. Branchenberichte wie der Verizon Data Breach Investigations Report und M-Trends von Mandiant zeigen, dass Angreifer regelmäßig ihre TTPs (Tactics, Techniques and Procedures) anpassen, sobald eine Kampagne öffentlich bekannt wird.
Konkrete Sicherheitsmaßnahmen gegen Cloud-basierte C2-Angriffe
Organisationen – insbesondere im Telekom- und Behördenumfeld – sollten ihre Sicherheitsarchitektur für Cloud-Verkehr grundlegend überprüfen. Wichtige Maßnahmen umfassen unter anderem:
1. Tiefgehende Überwachung ausgehenden Traffics: Nicht nur Zieladressen (z. B. Google, Microsoft), sondern auch Nutzungsmuster der APIs sollten analysiert werden. Anomalien wie ungewöhnlich häufige oder untypische API-Aufrufe können auf C2-Kommunikation hindeuten.
2. Strenges Management von Service-Accounts: Minimierung von Berechtigungen, Rotation von Schlüsseln, Monitoring fehlgeschlagener Authentifizierungen sowie Korrelation von API-Nutzung mit System- und Benutzerkontext sind essenziell.
3. Erkennung von Living-off-the-Land-Aktivitäten: Klassische Signaturen reichen nicht mehr aus. Gefordert sind verhaltensbasierte Analysen, EDR/XDR-Lösungen und die Ausrichtung an Frameworks wie MITRE ATT&CK, um verdächtige Nutzung legitimer Tools zu erkennen.
4. Analyse von SSH- und VPN-Aktivitäten: Ungewöhnliche SSH-Logins, neue oder nicht dokumentierte Systemdienste sowie der Einsatz von VPN-Software wie SoftEther sollten konsequent geprüft werden. Netzwerksegmentierung und Zero-Trust-Ansätze verringern die Optionen für laterale Bewegung.
Wer diese Erkenntnisse aus der UNC2814-Kampagne ernst nimmt, reduziert nicht nur das Risiko vergleichbarer Cloud-basierter C2-Angriffe, sondern stärkt insgesamt die Widerstandsfähigkeit seiner Infrastruktur. Es lohnt sich, aktuelle Threat-Intelligence-Berichte regelmäßig in die eigene Sicherheitsstrategie einfließen zu lassen, Detektionsregeln laufend zu aktualisieren und Security-Teams gezielt zu modernen Angriffswegen wie dem Missbrauch von Google Sheets als Command-and-Control-Kanal zu schulen.
