Das IT-Sicherheitsunternehmen Sophos hat einen Bericht veröffentlicht, der eine fast zwei Jahre andauernde Spionagekampagne gegen ein hochrangiges Regierungsziel in Südostasien beschreibt. Bei der Kampagne, die von Sophos als “Crimson Palace” bezeichnet wird, wurden drei verschiedenen Aktivitätscluster identifiziert, die sich gegen dieselbe Einrichtung richteten. Bei zwei der Aktivitätscluster konnten Taktiken, Techniken und Verfahren (TTP) entdeckt werden, die Überschneidungen mit den hier bekannten, mutmaßlich staatlich gesteuerten chinesischen Cybergruppierungen APT 15 und APT 41 aufweisen.
Ziel der Spionagekampagne “Crimson Palace” war es, bestimmte Nutzer auszuspionieren und sensible politische, wirtschaftliche und militärische Informationen zu sammeln. Hierzu wurden eine Vielzahl unterschiedlicher Malware und Tools eingesetzt, darunter auch zwei bislang unbekannte Malware-Typen, die Sophos mit den Namen „CCoreDoor“ bzw. „PocoProxy“ betitelt. Die Analyse des Angriffs zeigte außerdem Überschneidungen zwischen der verwendeten Malware und den TTPs von unterschiedlichen mutmaßlich chinesischen Angreifergruppen, die in diesem Fallkomplex bekannt geworden sind. Der Cyberabwehr des LfV ist ein solches Vorgehen bekannt. Staatlich gesteuerte Cyberakteure nutzen Infrastruktur, Schadsoftware und Tools zum Teil arbeitsteilig.
In Deutschland war in der jüngeren Vergangenheit insbesondere der Cyberakteur APT 15 aktiv. Das Bundesamt für Verfassungsschutz veröffentlichte im August 2023 einen Cyber-Brief zu den Aktivitäten dieser Gruppierung.
Die Cyberabwehr des LfV geht von einem anhaltend hohen Aufklärungsinteresse dieser Gruppierung aus, das sich auch gegen Ziele in
Deutschland richtet. Es wird daher dringend empfohlen, die eigenen Systeme auf die im Bericht
von Sophos bereitgestellten IOCs zu prüfen und eine mögliche Betroffenheit den Sicherheitsbehörden zu melden.