Eine bahnbrechende Untersuchung von Positive Technologies hat eindeutige Beweise für eine Verbindung zwischen den bekannten Advanced Persistent Threat (APT) Gruppen Team46 und TaxOff aufgedeckt. Die forensische Analyse deutet darauf hin, dass beide Gruppierungen möglicherweise Teil einer größeren, hochspezialisierten Cyberkriminellen-Organisation sind.
Zero-Day-Exploit als Ausgangspunkt der Ermittlungen
Den Anstoß für die Untersuchung gab ein schwerwiegender Sicherheitsvorfall im März 2025, bei dem eine Zero-Day-Schwachstelle (CVE-2025-2783) im Chrome-Browser ausgenutzt wurde. Die initial von Kaspersky entdeckte Attacke konnte durch detaillierte technische Analysen der Positive Technologies-Experten der Gruppe TaxOff zugeordnet werden.
Technische Überschneidungen in der Angriffsinfrastruktur
Die forensische Untersuchung offenbarte signifikante Gemeinsamkeiten in den Angriffsmethoden beider Gruppen. Besonders auffällig waren identische Phishing-Techniken, die Verwendung spezieller PowerShell-Skripte und der Einsatz des proprietären Trinper-Loaders. Die Analyse der Command-and-Control-Infrastruktur zeigte zudem übereinstimmende Muster bei der Tarnung von Domainnamen als legitime Dienste.
Sophisticated Malware mit gezielter Ausführungssteuerung
Eine besonders raffinierte Eigenschaft der eingesetzten Schadsoftware ist ihre selektive Ausführung. Die Malware aktiviert sich ausschließlich auf spezifisch anvisierten Systemen, wobei der Entschlüsselungsschlüssel für die Hauptfunktionen von individuellen Systemparametern abhängt. Diese hochgradige Zielgerichtetheit erschwert die Analyse und Erkennung der Angriffe erheblich.
Charakteristische Angriffsmuster
Die Angreifer nutzen spezifische User-Agent-Strings – Microsoft Edge für Köder-Dokumente und Yandex Browser für die Schadsoftware-Übertragung. Zusätzlich wurden fortgeschrittene DLL-Hijacking-Techniken identifiziert, die Schwachstellen im Yandex Browser (CVE-2024-6473) und der Windows-Komponente rdpclip.exe ausnutzen.
Diese Erkenntnisse unterstreichen die zunehmende Sophistikation moderner Cyber-Bedrohungen. Die Kombination aus Zero-Day-Exploits, gezielter Malware-Entwicklung und ausgefeilten Tarnungstechniken erfordert eine kontinuierliche Anpassung der Erkennungs- und Abwehrstrategien. Organisationen sollten ihre Sicherheitsmaßnahmen regelmäßig überprüfen und insbesondere auf mehrstufige Verteidigungsmechanismen, zeitnahe Patch-Management-Prozesse sowie umfassende Mitarbeiterschulungen setzen.