Sicherheitsforscher von Check Point Research (CPR) haben in den letzten Monaten die Aktivitäten eines chinesischen Bedrohungsakteurs verfolgt, der es mit der SmugX-Kampagne auf Außenministerien und Botschaften in Europa abgesehen hat. Zusammen mit anderen chinesischen Aktivitäten stellt dies einen größeren Trend innerhalb des chinesischen Ökosystems dar, der auf eine Verlagerung der Angriffe auf europäische Einrichtungen mit Schwerpunkt auf deren Außenpolitik hindeutet.
Anzeige
Die Angreifer verwenden laut Check Point HTML-Schmuggel, um Regierungsstellen in Osteuropa anzugreifen. Vor allem die Ukraine, Tschechien, die Slowakei und Ungarn stehen im Fokus. Angriffe gibt es auch in Schweden, Frankreich und Großbritannien. Die Mehrzahl der verteilten, infizierten Dokumente (auf VirusTotal) enthielt diplomatische Inhalte. In mehr als einem Fall bezog sich der Inhalt direkt auf China.
- Ein Brief, der von der serbischen Botschaft in Budapest stammt.
- Ein Dokument mit den Prioritäten der schwedischen Ratspräsidentschaft der Europäischen Union.
- Eine Einladung zu einer diplomatischen Konferenz des ungarischen Außenministeriums.
- Ein Artikel über zwei chinesische Menschenrechtsanwälte, die zu mehr als einem Jahrzehnt Gefängnis verurteilt wurden.
Darüber hinaus lassen die Namen der archivierten Akten selbst stark darauf schließen, dass die beabsichtigten Opfer Diplomaten und Regierungsstellen waren. Diese spezielle Kampagne ist seit mindestens Dezember 2022 aktiv und ist wahrscheinlich eine direkte Fortsetzung einer zuvor gemeldeten Kampagne, die RedDelta (und in gewissem Maße auch Mustang Panda) zugeschrieben wird. Check Point Research hat die Erkenntnisse in diesem Artikel veröffentlicht.
Die Kampagne nutzt neue Übertragungsmethoden (HTML Smuggling), um eine neue Variante von PlugX zu verbreiten. HTML Smuggling ist eine Technik, bei der Angreifer bösartige Nutzdaten in HTML-Dokumenten verstecken. PlugX ist ein Implantat, das häufig mit einer Vielzahl chinesischer Bedrohungsakteure in Verbindung gebracht wird. Obwohl die Nutzlast selbst derjenigen älterer PlugX-Varianten ähnelt, führen die Verbreitungsmethoden zu niedrigen Entdeckungsraten, was der Kampagne bis vor kurzem half, unter dem Radar zu bleiben. Details lassen sich dem Artikel von Check Point Research entnehmen.
Anzeige
Anzeige
"Details lassen sich dem Artikel von Check Point Research entnehmen."
Tja… "chinesische Akteure", keinerlei Beweis, nichts, was irgendwie nachvollziehbar wäre.
Der benannte IP-Adresse des C&C-Servers gehört Green Floid LLC mit Sitz in Tschechien, während die IP des Zertifikates auf Xnnet LLC mit Sitz in Eglinton, Nord Irland verweist (UK).
Hoffentlich werden Strafverfolgungsbehörden hierzulande nicht mit ähnlicher Beweislast anfangen Leute einzukerkern.
Jegliche Attribution ist immer mit großer Vorsicht zu geniesen…
Grundsätzlich gebe ich dir Recht. Entgegen den diversen Äußerungen hier dürfte "die Attribution" nicht so gänzlich in der Luft hängen. Es gibt ein Muster, es gibt eine Vorgeschichte und man kann sich die Köder sowie die Ziele ansehen. Dann lassen sich durchaus Schlüsse ziehen … meine ja nur.
Und nein, ich möchte nicht in die "wir wissen zwar, wer davon profitiert und wohl mit ziemlicher Sicherheit dahinter steckt, aber aus politischen Gründen dürfen wir das nicht thenatisieren/benennen"-Situation kommen.