Beobachtungen
Der Cyberakteur Cloud Atlas ist seit mindestens 2014 aktiv. Laut IT-Securityunternehmen führt er seit der zweiten Hälfte des Jahres 2025 und bis in das erste Quartal 2026 eine anhaltende Kampagne durch. Ihre Ziele sind staatliche Behörden und diplomatische Einrichtungen in Russland und Belarus. Sie setzt eine langjährige Operationstradition fort, die sich geographisch auf den postsowjetischen Raum und insbesondere auf Ziele in und um die Russische Föderation konzentriert.
Im Vergleich zu früheren Kampagnenwellen ist das Werkzeugspektrum des Akteurs erheblich gewachsen. Cloud Atlas demonstriert trotz eines jahrelang weitgehend statischen Methodenprofils eine zunehmende operative Tiefe und Redundanz. Die Gruppe ist in der Lage, selbst in gut überwachten Netzwerken dauerhaften Zugang zu halten, da sie legitime Systemfunktionen und Cloud-Dienste missbraucht, die von Sicherheitslösungen typischerweise als vertrauenswürdig eingestuft werden. Besonders relevant ist diese Einschätzung für Organisationen, die diplomatische oder geheimdienstliche Verbindungen in den russisch-belarussischen Raum unterhalten.
Methoden
Der Angriffsvektor der aktuellen Kampagne kombiniert zwei parallele Ansätze. Zum einen verteilt Cloud Atlas per E-Mail ZIP-Archive, die LNK-Verknüpfungsdateien enthalten. Diese Verknüpfungen führen beim Ausführen verdeckt PowerShell-Skripte aus. Die Skripte werden von externer Infrastruktur nachgeladen (MITRE ATT&CK T1059.001, T1566.001). Zum anderen setzt der Akteur präparierte Microsoft-Office-Dokumente ein. Diese nutzen die seit Jahren bekannte Schwachstelle CVE-2018-0802 im Equation-Editor-Prozess aus, um Schadsoftware herunterzuladen und auszuführen. Die fortgesetzte Wirksamkeit einer acht Jahre alten Schwachstelle als Angriffsvektor ist ein direkter Hinweis auf den Patch-Status der angegriffenen Umgebungen.
Der nachgeladene PowerShell-Loader legt unmittelbar nach Ausführung eine persistente Kopie des Hauptskripts (fixed.ps1) im temporären Systemverzeichnis ab und sichert den Autostart über einen Registrierungsschlüssel im Run-Pfad, der als YandexBrowser_setup getarnt ist. Gleichzeitig wird ein Decoy-PDF-Dokument geöffnet, um den Nutzer während der Hintergrundoperationen abzulenken. Im Anschluss löscht der Loader eigene forensische Artefakte. Darunter das ursprüngliche ZIP-Archiv und die LNK-Datei, bevor er das Skript ausführt (MITRE ATT&CK T1547.001, T1070.004).
Der Akteur setzt auch das Backdoor-Duo VBCloud und PowerShower ein. VBCloud operiert als verschlüsselte Datei, die Dokumente mit den Endungen DOC, PDF und XLS systematisch sucht und an Angreifer-Infrastruktur exfiltriert. PowerShower hingegen betreibt Netzwerkaufklärung und laterale Bewegung. Es sammelt Domaininformationen, lädt und führt Remote-PowerShell-Befehle aus und führt Angriffe durch, um Passwort-Hashes aus dem Active Directory zu extrahieren. Um die dafür benötigten erhöhten Rechte zu erlangen, nutzt PowerShower eine dokumentierte UAC-Umgehungstechnik über fodhelper.exe, mit deren Hilfe anschließend die Registry-Hives SAM und SECURITY kopiert werden (MITRE ATT&CK T1558.003, T1548.002, T1003.002).
Dabei kommt auch das neu identifizierte Werkzeug PowerCloud des Akteurs zum Einsatz. Das Tool identifiziert Nutzer mit lokalen Administratorrechten. Anschließend codiert es diese Information zusammen mit Computernamen und aktuellem Datum in Base64 und schreibt sie in ein Google-Sheets-Dokument unter Kontrolle des Akteurs (MITRE ATT&CK T1567). Die Nutzung von Google Sheets als C2-Kanal lässt den Traffic üblicherweise als legitim aussehen.
Als technisches Alleinstellungsmerkmal dieser Kampagne ist die Manipulation der Windows-Systembibliothek termsrv.dll durch das Skript rdp_new.ps1 zu werten. Das Skript übernimmt Eigentümerrechte an der Datei, modifiziert gezielt eine Bytesequenz, lockert RDP-Firewall-Regeln und startet den Terminaldienst neu. Das Ergebnis ist die Aufhebung der Windows-internen Beschränkung auf eine gleichzeitige RDP-Sitzung, wodurch der Akteur verdeckte Hintergrundsitzungen etablieren kann ohne die Arbeit legitimer Nutzer zu unterbrechen. Diese Technik ist für Cloud Atlas erstmals dokumentiert und im MITRE-ATT&CK-Rahmen als Manipulation von Remote-Access-Software einzuordnen (T1021.001).
Für die Persistenz nach der Erstinfektion nutzt der Akteur vier unabhängige Tunneling-Technologien.
- Erstens: native oder modifizierte OpenSSH-Clients (MITRE ATT&CK T1572).
- Zweitens: modifizierte OpenSSH-Varianten, bei denen libcrypto.dll durch eine benutzerdefinierte syruntime.dll ersetzt wurde, um signaturbasierte Erkennung zu erschweren.
- Drittens: RevSocks, ein in Go geschriebenes SOCKS-Proxy-Werkzeug, das als Alternative zu SSH direkten Zugang zu Workstations und internen Netzwerksegmenten über kompromittierte Systeme als Pivot-Punkte ermöglicht.
- Viertens: Tor-Hidden-Services, über die kompromittierte Systeme per RDP über anonymisierte .onion-Domänen erreichbar gemacht werden.
Die Kombination dieser Kanäle gewährleistet operativen Zugang auch dann, wenn einzelne Mechanismen entdeckt und neutralisiert werden.
Attribution
Kaspersky ordnet die beschriebene Aktivität mit hoher Wahrscheinlichkeit der APT-Gruppe Cloud Atlas zu. Cloud Atlas wird in der Branchenterminologie auch als Inception, Clean Ursa und Oxygen geführt.
Eine staatliche Attribution von Cloud Atlas liegt nicht vor und ist als offene Frage der Threat-Intelligence-Gemeinschaft einzustufen. Keine Behörde ordnet den Akteur einem konkreten Nationalstaat zu. Die thematische Ausrichtung der Phishing-Köder (russischsprachige, russische Staatsthemen), die Zielgeographie (Regierungseinrichtungen in Russland und Belarus) und die Muster des Informationsinteresses (diplomatische und staatliche Dokumente) legen aus analytischer Sicht nahe, dass der Akteur im Interesse eines Staates operiert, der Russland als Aufklärungsziel betrachtet.
Als analytische Einschätzung, nicht durch die vorliegende Quellenlage belegt, sprechen Zielauswahl und operative Konsistenz über mehr als eine Dekade für einen staatlich gesteuerten oder staatlich tolerierten Akteur, dessen Ursprungsland bisher nicht öffentlich identifiziert wurde. Diese Einschätzung ist begründet durch die Beobachtung, dass langjährige, ressourcenintensive Spionageoperationen gegen einen spezifischen Staatenkomplex ohne staatliche Förderung historisch selten sind.
Handlungsempfehlungen
Die Ausnutzung von CVE-2018-0802 als Einfallstor macht eine sofortige Prüfung des Patch-Status aller Microsoft-Office-Installationen zur Priorität. Wo Patches nicht angewendet werden, sollte die Ausführung des Equation-Editor-Prozesses (EQNEDT32.EXE) per Application-Control-Richtlinie blockiert werden. Das Ausführen von Makros und eingebetteten OLE-Objekten sollte in allen nicht zwingend erforderlichen Umgebungen deaktiviert sein.
Die LNK-basierte Erstinfektion erfordert Endpunktüberwachung, die PowerShell-Ausführungen aus dem temporären Verzeichnis und aus Verknüpfungsdateien erkennt. EDR-Regeln sollten Prozessbäume abdecken, in denen powershell.exe als Sub-Prozess von explorer.exe oder svchost.exe mit Netzwerkzugriff auf externe Ressourcen startet. Persönliche Registrierungsschlüssel im Run-Pfad, die Softwarenamen wie YandexBrowser_setup tragen und auf Skripte im Tempverzeichnis verweisen, sind als Kompromittierungsindikator zu behandeln.
Die Manipulation von termsrv.dll erfordert die Implementierung einer Datei-Integritätsüberwachung für kritische Windows-Systembibliotheken. Veränderungen an C:\Windows\System32\termsrv.dll außerhalb von Windows-Update-Prozessen sind dabei als sehr verdächtig einzustufen. Zusätzlich sollte die Anzahl gleichzeitiger RDP-Sitzungen pro System überwacht werden. Mehr als eine aktive Sitzung auf einem Nicht-Terminalserver-System ist in den meisten Unternehmensumgebungen anomal.
Die mehrschichtige Tunneling-Infrastruktur des Akteurs erfordert Netzwerküberwachung, die ausgehende Verbindungen auf Port 443 und 22 zu nicht-betrieblichen Zielen erkennt. Tor-Verbindungen können durch Blockierung bekannter Tor-Einstiegsknoten (Guard Nodes) und Erkennung charakteristischer TLS-Fingerabdrücke eingeschränkt werden. Der Einsatz von PsExec und PAExec für die Remote-Ausführung von VBS-Skripten sollte in sensitiven Umgebungen aktiv überwacht und, sofern nicht betrieblich erforderlich, per Policy unterbunden werden (MITRE ATT&CK T1021.002).
Die Nutzung von Google Sheets als Exfiltrationskanal durch PowerCloud unterstreicht die Notwendigkeit, Cloud-Dienste nicht pauschal als sicheren Traffic zu klassifizieren. In Hochsicherheitsumgebungen sollte ausgehender Traffic zu Google-API-Endpunkten (sheets.googleapis.com) auf Anomalien überwacht werden. Darüber hinaus sollte der Zugriff auf Google-Dienste über vom Nutzer nicht gestartete Prozesse als Indikator für potenziell missbräuchliche Nutzung behandelt werden.