{"id":324446,"date":"2026-05-03T00:12:01","date_gmt":"2026-05-02T22:12:01","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324446"},"modified":"2026-05-02T00:10:33","modified_gmt":"2026-05-01T22:10:33","slug":"ev-zertifikate-von-lenovo-co-durch-goldeneyedog-missbraucht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/03\/ev-zertifikate-von-lenovo-co-durch-goldeneyedog-missbraucht\/","title":{"rendered":"EV-Zertifikate von Lenovo & Co. durch GoldenEyeDog missbraucht"},"content":{"rendered":"

\"SicherheitHersteller wie Lenovo, Kingston, Shuttle Inc. und Palit Microsystems sind von einem Zertifikatsproblem betroffen. Eine chinesische Hackergruppe namens GoldenEyeDog (APT-Q-27) war in der Lage, EV-Zertifikate im Namen der oben genannten Organisationen auszustellen und f\u00fcr kriminelle Zwecke zu missbrauchen.<\/p>\n

<\/p>\n

\"\"Ich bin k\u00fcrzlich in nachfolgendem Tweet<\/a> auf den Sachverhalt gesto\u00dfen, wo gefragt wird, was die Firmen Lenovo, Kingston, Shuttle Inc. und Palit Microsystems gemeinsam h\u00e4tten.<\/p>\n

\"EV<\/a><\/p>\n

Und als Antwort hei\u00dft es, dass eine chinesische Hackergruppe namens GoldenEyeDog (APT-Q-27) EV-Zertifikate im Namen der oben genannten Organisationen ausgestellt habe.\u00a0Es handelt sich um neue, auf die Namen der oben erw\u00e4hnten Unternehmen ausgestellte, Zertifikate. Die Zertifikate wurden ausschlie\u00dflich zum Signieren von Malware verwendet werden.<\/p>\n

Der Sicherheitsexperte Squiblydoo gibt an, 12 solcher Zertifikate festgestellt zu haben, 69 davon f\u00fcr dieselbe Malware: Zhong Stealer.\u00a0In einer Serie von Folge-Tweets wird dieser Sachverhalt noch detaillierter beschrieben.<\/p>\n

DigiCert best\u00e4tigt das Problem<\/h2>\n

In diesem Tweet<\/a> wird aus dem Incident-Report der ausstellenden Zertifikatsstelle (DigiCert) zitiert, die das Problem Ende April 2026 so best\u00e4tigt:<\/p>\n

Der Angreifer nutzte einen kompromittierten Endpunkt eines Support-Mitarbeiters, um auf das interne Support-Portal von DigiCert zuzugreifen. Der Angreifer nutzte eine eingeschr\u00e4nkte Funktion innerhalb des Kundensupport-Portals, die es authentifizierten DigiCert-Support-Analysten erm\u00f6glicht, aus der Perspektive des Kunden auf Kundenkonten zuzugreifen, um Support-Aufgaben zu erleichtern. Der Angreifer konnte diese Funktion nutzen, um auf Initialisierungscodes f\u00fcr Bestellungen zuzugreifen, die genehmigt, aber noch nicht ausgeliefert waren \u2013 und zwar f\u00fcr Bestellungen von EV-Code-Signing-Zertifikaten f\u00fcr eine begrenzte Anzahl von Kundenkonten.<\/p><\/blockquote>\n

Der Besitz des Initialisierungscodes in Verbindung mit einer genehmigten Bestellung reicht aus, um das entsprechende Zertifikat zu generieren und abzurufen. Der vollst\u00e4ndige Bericht ist hier zu finden<\/a> und erl\u00e4utert den Vorfall ausf\u00fchrlich. DigiCert hat die betreffenden Zertifikate zur\u00fcckgerufen und f\u00fcr ung\u00fcltig erkl\u00e4rt.<\/p>\n

Der Vorfall ging glimpflich aus, weil ein in der Sicherheitsforschung t\u00e4tiges Community-Mitglied das sich entwickelnde Muster missbr\u00e4uchlich verwendeter Zertifikate meldete, und Kontakt zum DigiCert-Support-Team aufnahm\u00a0 Ohne diese Meldung w\u00e4ren die unentdeckte Kompromittierung von ENDPOINT2 und die damit verbundene fehlerhafte Ausstellung m\u00f6glicherweise noch f\u00fcr l\u00e4ngere Zeit unentdeckt geblieben.<\/p>\n","protected":false},"excerpt":{"rendered":"

Hersteller wie Lenovo, Kingston, Shuttle Inc. und Palit Microsystems sind von einem Zertifikatsproblem betroffen. Eine chinesische Hackergruppe namens GoldenEyeDog (APT-Q-27) war in der Lage, EV-Zertifikate im Namen der oben genannten Organisationen auszustellen und f\u00fcr kriminelle Zwecke zu missbrauchen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-324446","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324446","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324446"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324446\/revisions"}],"predecessor-version":[{"id":324448,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324446\/revisions\/324448"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324446"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}