![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Sicherheitsexperten von Check Point Research (CPR) haben eine Cyberspionagekampagne aus China identifiziert, die sich gegen Regierungsorganisationen in S\u00fcdostasien und Teilen Europas richtet. Check Point Research (CPR) nennt die Gruppe \"Silver Dragon\" und nach Einsch\u00e4tzung der Sicherheitsexperten ist sie seit mindestens Mitte 2024 aktiv.<\/p>\n
<\/p>\n
Check Point Research schreibt hier<\/a>, dass die Kampagne Server-Exploits, Phishing, ma\u00dfgeschneiderte Malware und eine cloudbasierte Befehlsinfrastruktur kombiniert, um langfristigen Zugriff auf die Zielumgebungen zu erlangen. Aufgrund mehrerer \u00fcbereinstimmender Indikatoren gehen die Experten mit hoher Sicherheit davon aus, dass Silver Dragon ein mit China in Verbindung stehender Bedrohungsakteur ist, der wahrscheinlich unter dem Dach von APT41 operiert.<\/p>\n Das Besondere an Silver Dragon ist nicht eine einzelne Technik, sondern die Kombination: heimliche Persistenz innerhalb legitimer Windows-Dienste, Nutzung vertrauensw\u00fcrdiger Cloud-Plattformen f\u00fcr Befehls- und Kontrollfunktionen und dazu ein Toolkit, das eher auf dauerhaften Zugriff als auf kurzfristige Sabotage schlie\u00dfen l\u00e4sst.<\/p>\n In erster Linie zielt Silver Dragon auf staatliche Stellen ab, wobei die meisten identifizierten Opfer in S\u00fcdostasien ans\u00e4ssig sind. Weitere Aktivit\u00e4ten wurden in Europa beobachtet, wobei Deutschland nach aktuellem Kenntnisstand bisher nicht betroffen war (Abbildung 1).<\/p>\n Abbildung 1: Geografische Verteilung der Zielorganisationen. Das Opferprofil in Verbindung mit den verwendeten Tools und Persistenzmethoden l\u00e4sst darauf schlie\u00dfen, dass die Kampagne langfristige Spionage zum Ziel hat. Die Betreiber zeigen Geduld und operative Disziplin, was eher auf langfristige Informationsbeschaffung als auf finanziell motivierte Kriminalit\u00e4t hindeutet. Silver Dragon nutzt zudem zwei prim\u00e4re Einstiegspunkte:<\/p>\n Die Gruppe greift \u00f6ffentlich \u00fcber das Internet zug\u00e4ngliche Systeme an und sobald ein Server kompromittiert ist, k\u00f6nnen sich die Angreifer tiefer in das interne Netzwerk einarbeiten und zus\u00e4tzliche Tools einsetzen.<\/p>\n CPR hat auch E-Mail-basierte Angriffe beobachtet, bei denen manipulierte Anh\u00e4nge versendet wurden. In einer Kampagne wurden Phishing-E-Mails versendet, die als offizielle Mitteilungen an Regierungsstellen in Usbekistan getarnt waren. W\u00e4hrend dem Benutzer ein gef\u00e4lschtes Dokument zur Ablenkung angezeigt wurde, starteten im Hintergrund sch\u00e4dliche Komponenten. Durch die kombinierte Ausnutzung von Exploits in Verbindung mit Phishing-Attacken erh\u00f6ht Silver Dragon seine Erfolgswahrscheinlichkeit, verschiedene Umgebungen zu infiltrieren.<\/p>\n Ein charakteristisches Merkmal von Silver Dragon ist seine Persistenz. Anstatt offensichtlich b\u00f6sartige Dienste einzusetzen, kapert die Gruppe legitime Windows-Dienste, stoppt sie und erstellt sie neu, um b\u00f6sartigen Code unter vertrauensw\u00fcrdigen Namen zu laden. Zu den beobachteten missbrauchten Diensten geh\u00f6ren Komponenten im Zusammenhang mit Windows Update, Bluetooth-Diensten und .NET Framework-Dienstprogrammen.<\/p>\n Diese Taktik erm\u00f6glicht es der Malware, sich in normale Systemaktivit\u00e4ten einzuf\u00fcgen. Da die Dienstnamen legitim erscheinen, wird die Erkennung schwieriger, insbesondere in gro\u00dfen Umgebungen, in denen Systemdienste routinem\u00e4\u00dfig L\u00e4rm erzeugen.<\/p>\n Eine zentrale Komponente dieser Kampagne ist eine benutzerdefinierte Hintert\u00fcr namens GearDoor. GearDoor nutzt Google Drive als Command-and-Control-Kanal (C2). Anstatt mit verd\u00e4chtigen Infrastrukturen zu kommunizieren, tauschen infizierte Systeme Dateien mit einem dedizierten Google Drive-Konto aus.<\/p>\n Jeder kompromittierte Rechner erstellt einen eigenen Cloud-Ordner, l\u00e4dt regelm\u00e4\u00dfig Heartbeat-Daten hoch und ruft als normale Dateien getarnte Befehle des Betreibers ab. Nach Ausf\u00fchrung der Aufgaben l\u00e4dt er die Ergebnisse wieder an denselben Speicherort hoch.<\/p>\n Da Google Drive-Datenverkehr in Unternehmensumgebungen in der Regel erlaubt ist, erm\u00f6glicht dieses dateibasierte Modell, dass b\u00f6swillige Kommunikation mit legitimen Aktivit\u00e4ten vermischt wird. Dieser Ansatz spiegelt einen allgemeinen Trend bei fortgeschrittenen Bedrohungsoperationen wider: den Missbrauch vertrauensw\u00fcrdiger Plattformen, um das Risiko einer Entdeckung zu verringern.<\/p>\n Silver Dragon setzt auch benutzerdefinierte Tools ein, um den Zugriff aufrechtzuerhalten und Informationen zu sammeln.<\/p>\n Zusammen deuten diese Tools eher auf einen dauerhaften Zugriff und kontinuierliche \u00dcberwachung statt auf blo\u00dfe kurzfristige Sabotage hin.<\/p>\n \u00dcber mehrere Infektionsketten hinweg war die endg\u00fcltige Nutzlast Cobalt Strike, ein legitimes Penetrationtest-Framework, das h\u00e4ufig von Bedrohungsakteuren missbraucht wird.<\/p>\n In dieser Kampagne kommunizierten Beacons \u00fcber DNS und HTTP und in einigen F\u00e4llen \u00fcber interne Netzwerkprotokolle, wodurch der Befehlsverkehr weniger auff\u00e4llig erschien, insbesondere in Kombination mit legitimen Diensten oder Cloud-Infrastrukturen.<\/p>\n Konsistente Bereitstellungsmuster und Konfigurations\u00fcberschneidungen verst\u00e4rken die Verbindung zwischen Silver Dragon und zuvor dokumentierten Aktivit\u00e4ten mit Bezug zu China zus\u00e4tzlich.<\/p>\n Check Point Research kommt mit hoher Sicherheit zu dem Schluss, dass Silver Dragon mit einem chinesischen Bedrohungsakteur in Verbindung steht und wahrscheinlich innerhalb des breiteren APT41-\u00d6kosystems operiert.<\/p>\n Diese Einsch\u00e4tzung basiert auf folgenden Feststellungen:<\/p>\n Obwohl die Zuordnung bei Cyberangriffen selten auf einem einzigen Faktor basiert, st\u00fctzt die Konvergenz technischer und operativer Beweise diese Schlussfolgerung.<\/p>\n Im Bereich der fortgeschrittenen Cyberspionage verdeutlicht Silver Dragon mehrere aktuelle Trends:<\/p>\n F\u00fcr Verteidiger verst\u00e4rkt das die Notwendigkeit, \u00fcber traditionelle Perimeter-Abwehrma\u00dfnahmen hinauszuschauen. Die \u00dcberwachung muss sich auf Endpunkte, interne Netzwerkaktivit\u00e4ten und Cloud-Dienste erstrecken. Legitime Plattformen k\u00f6nnen missbraucht und vertrauensw\u00fcrdige Dienste k\u00f6nnen zu verdeckten Kan\u00e4len werden.<\/p>\n Unternehmen mit exponierter Infrastruktur und hohem strategischem Wert \u2013 insbesondere im \u00f6ffentlichen Sektor \u2013 sollten der Aktualisierung von Systemen mit Internetanbindung, der St\u00e4rkung der E-Mail-Sicherheit und der genauen \u00dcberwachung von \u00c4nderungen auf Serviceebene in Windows-Umgebungen Priorit\u00e4t einr\u00e4umen.<\/p>\n Silver Dragon unterstreicht einen breiteren strategischen Trend in der fortgeschrittenen Cyberspionage. Anstatt sich ausschlie\u00dflich auf ma\u00dfgeschneiderte Infrastrukturen zu verlassen, schleusen sich staatlich orientierte Akteure zunehmend in legitime Unternehmenssysteme und vertrauensw\u00fcrdige Cloud-Dienste ein. Dies verringert die Sichtbarkeit f\u00fcr herk\u00f6mmliche Perimeter-Abwehrma\u00dfnahmen und verl\u00e4ngert die Verweildauer in den Zielnetzwerken.<\/p>\n F\u00fcr F\u00fchrungskr\u00e4fte ist die Schlussfolgerung klar: Die Gef\u00e4hrdung beschr\u00e4nkt sich nicht mehr nur auf offensichtliche Malware oder verd\u00e4chtige externe Verbindungen. Zu den Risiken geh\u00f6rt nun auch der subtile Missbrauch legitimer Dienste, Cloud-Plattformen und zentraler Betriebssystemkomponenten.<\/p>\n Unternehmen ben\u00f6tigen eine integrierte, pr\u00e4ventionsorientierte Sicherheitsarchitektur, die Netzwerk-, Endpunkt-, E-Mail- und Cloud-Umgebungen umfasst. Um sich vor Kampagnen wie Silver Dragon zu sch\u00fctzen, braucht es mehrschichtige Bedrohungspr\u00e4vention, fortschrittliche Verhaltenserkennung und Threat Intelligence in Echtzeit.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsexperten von Check Point Research (CPR) haben eine Cyberspionagekampagne aus China identifiziert, die sich gegen Regierungsorganisationen in S\u00fcdostasien und Teilen Europas richtet. Check Point Research (CPR) nennt die Gruppe \"Silver Dragon\" und nach Einsch\u00e4tzung der Sicherheitsexperten ist sie seit mindestens … Weiterlesen Die wichtigsten Erkenntnisse in K\u00fcrze<\/h3>\n
\n
\nEine speziell angefertigte Backdoor namens \u201eGearDoor\" erm\u00f6glicht verdeckte Command-and-Control-Kommunikation \u00fcber Google Drive. B\u00f6sartiger Datenverkehr wird dabei mit normaler Cloud-Nutzung vermischt.<\/li>\nMethoden und Ziele von Silver Dragon<\/h3>\n
![\"Karte\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/Karte.jpg\")
<\/a><\/p>\n
\n(Quelle: Check Point Software Technologies Ltd.)<\/p>\nAusnutzung \u00f6ffentlich zug\u00e4nglicher Server<\/h3>\n
Phishing-Kampagnen<\/h3>\n
![\"OneSec](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/OneSec.jpg\")
<\/a>Abbildung 2: Phishing-K\u00f6der, der sich als offizielles Schreiben an Regierungsstellen in Usbekistan tarnt. (Quelle: Check Point Software Technologies Ltd.)<\/p>\nPersistenz durch legitime Windows-Dienste<\/h3>\n
GearDoor: Befehls- und Kontrollfunktion \u00fcber Google Drive<\/h3>\n
Welche Tools Silver Dragon nach der Infiltration nutzt<\/h3>\n
\n
Verwendung von Cobalt Strike<\/h3>\n
Attributionsbewertung<\/h2>\n
\n
Silver Dragon im Kontext aktueller Entwicklungen<\/h2>\n
\n
Fazit<\/h2>\n