Chinesische Bedrohungsakteure zielen mit SmugX-Kampagne auf Europa

Sicherheit (Pexels, allgemeine Nutzung)Sicherheitsforscher von Check Point Research (CPR) haben in den letzten Monaten die Aktivitäten eines chinesischen Bedrohungsakteurs verfolgt, der es mit der SmugX-Kampagne auf Außenministerien und Botschaften in Europa abgesehen hat. Zusammen mit anderen chinesischen Aktivitäten stellt dies einen größeren Trend innerhalb des chinesischen Ökosystems dar, der auf eine Verlagerung der Angriffe auf europäische Einrichtungen mit Schwerpunkt auf deren Außenpolitik hindeutet.


Anzeige

Die Angreifer verwenden laut Check Point HTML-Schmuggel, um Regierungsstellen in Osteuropa anzugreifen.  Vor allem die Ukraine, Tschechien, die Slowakei und Ungarn stehen im Fokus. Angriffe gibt es auch in Schweden, Frankreich und Großbritannien. Die Mehrzahl der verteilten, infizierten Dokumente (auf VirusTotal) enthielt diplomatische Inhalte. In mehr als einem Fall bezog sich der Inhalt direkt auf China.

  • Ein Brief, der von der serbischen Botschaft in Budapest stammt.
  • Ein Dokument mit den Prioritäten der schwedischen Ratspräsidentschaft der Europäischen Union.
  • Eine Einladung zu einer diplomatischen Konferenz des ungarischen Außenministeriums.
  • Ein Artikel über zwei chinesische Menschenrechtsanwälte, die zu mehr als einem Jahrzehnt Gefängnis verurteilt wurden.

Darüber hinaus lassen die Namen der archivierten Akten selbst stark darauf schließen, dass die beabsichtigten Opfer Diplomaten und Regierungsstellen waren. Diese spezielle Kampagne ist seit mindestens Dezember 2022 aktiv und ist wahrscheinlich eine direkte Fortsetzung einer zuvor gemeldeten Kampagne, die RedDelta (und in gewissem Maße auch Mustang Panda) zugeschrieben wird. Check Point Research hat die Erkenntnisse in diesem Artikel veröffentlicht.

Chinesische Bedrohungsakteure zielen mit SmugX-Kampagne auf Europa

Die Kampagne nutzt neue Übertragungsmethoden (HTML Smuggling), um eine neue Variante von PlugX zu verbreiten. HTML Smuggling ist eine Technik, bei der Angreifer bösartige Nutzdaten in HTML-Dokumenten verstecken. PlugX ist ein Implantat, das häufig mit einer Vielzahl chinesischer Bedrohungsakteure in Verbindung gebracht wird. Obwohl die Nutzlast selbst derjenigen älterer PlugX-Varianten ähnelt, führen die Verbreitungsmethoden zu niedrigen Entdeckungsraten, was der Kampagne bis vor kurzem half, unter dem Radar zu bleiben. Details lassen sich dem Artikel von Check Point Research entnehmen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Chinesische Bedrohungsakteure zielen mit SmugX-Kampagne auf Europa

  1. Dat Bundesferkel sagt:

    "Details lassen sich dem Artikel von Check Point Research entnehmen."

    Tja… "chinesische Akteure", keinerlei Beweis, nichts, was irgendwie nachvollziehbar wäre.
    Der benannte IP-Adresse des C&C-Servers gehört Green Floid LLC mit Sitz in Tschechien, während die IP des Zertifikates auf Xnnet LLC mit Sitz in Eglinton, Nord Irland verweist (UK).

    Hoffentlich werden Strafverfolgungsbehörden hierzulande nicht mit ähnlicher Beweislast anfangen Leute einzukerkern.

  2. Anonymous sagt:

    Jegliche Attribution ist immer mit großer Vorsicht zu geniesen…

    • Günter Born sagt:

      Grundsätzlich gebe ich dir Recht. Entgegen den diversen Äußerungen hier dürfte "die Attribution" nicht so gänzlich in der Luft hängen. Es gibt ein Muster, es gibt eine Vorgeschichte und man kann sich die Köder sowie die Ziele ansehen. Dann lassen sich durchaus Schlüsse ziehen … meine ja nur.

      Und nein, ich möchte nicht in die "wir wissen zwar, wer davon profitiert und wohl mit ziemlicher Sicherheit dahinter steckt, aber aus politischen Gründen dürfen wir das nicht thenatisieren/benennen"-Situation kommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.