Inhalt
Zwischen 2024 und 2025 wurde der russische IT-Sektor, insbesondere Unternehmen, die als Auftragnehmer und Integratoren für Regierungsbehörden tätig sind, Opfer einer Reihe verdeckter Cyberangriffe. Diese Eindringlinge wurden mit APT31 in Verbindung gebracht, einer China-verbundenen Advanced Persistent Threat-Gruppe, die für ihre Heimlichkeit und Ausdauer bekannt ist. Die Forscher Daniil Grigoryan und Varvara Koloskova von Positive Technologies beleuchteten diese Angriffe und zeigten auf, wie APT31 es schaffte, über lange Zeiträume unentdeckt zu bleiben, während sie Aufklärungsmissionen durchführten, die darauf abzielten, politische, wirtschaftliche und militärische Vorteile für Peking und angeschlossene staatliche Unternehmen zu sichern.\n\nAPT31, das mindestens seit 2010 unter zahlreichen Aliasen wie Altaire, Bronze Vinewood und Violet Typhoon operiert, hat eine vielfältige Zielgruppe. Seine Kampagnen erstrecken sich über Regierungen, Finanzinstitute, Luft- und Raumfahrt sowie Verteidigungssektoren und andere. Im Mai 2025 beschuldigte die Tschechische Republik diese Gruppe, ihr Außenministerium ins Visier genommen zu haben, was die breite geografische Reichweite von APT31 über Russland hinaus zeigt. Die jüngsten Operationen der Gruppe gegen russische IT-Unternehmen basierten stark auf legitimen Cloud-Diensten – insbesondere nativen Plattformen wie Yandex Cloud – um Kommando-und-Kontroll-(C2)-Kommunikationen und Datendiebstahl zu verschleiern, indem bösartiger Datenverkehr mit normaler Netzwerkaktivität vermischt wurde, um eine Entdeckung zu vermeiden.\n\nDie Angreifer setzten auch innovative Taktiken ein, wie das Einbetten verschlüsselter Befehle und Payloads in Social-Media-Profile und das Timing ihrer Angriffe an Wochenenden und Feiertagen, um die Entdeckungswahrscheinlichkeit zu verringern. Beweise zeigen, dass mindestens ein russisches IT-Unternehmen bereits Ende 2022 kompromittiert wurde, wobei die Angriffsstärke über die Neujahrszeit 2023 zunahm. Ein weiterer bemerkenswerter Vorfall im Dezember 2024 betraf Spear-Phishing-E-Mails mit bösartigen RAR-Archiven. Diese Archive enthielten Windows-Verknüpfungsdateien, die verwendet wurden, um einen Cobalt Strike Loader namens CloudyLoader über DLL Side-Loading bereitzustellen – eine Technik, die legitime Prozesse ausnutzt, um schädlichen Code auszuführen. Der Juli-2025-Bericht von Kaspersky verband einige dieser Aktivitäten mit einem Bedrohungscluster namens EastWind, der angeblich ZIP-Archive verwendete, die als offizielle Dokumente getarnt waren, um Opfer zu täuschen.\n\nDas Toolkit von APT31 ist umfangreich und entwickelt sich ständig weiter. Sie kombinieren Standard-Utilities mit maßgeschneiderter Malware, um Persistenz aufrechtzuerhalten und Aufklärung durchzuführen. Beispielsweise verwenden sie Tools wie SharpADUserIP für die Netzwerkerkennung, SharpChrome.exe zum Extrahieren von Browser-Anmeldedaten und VtChatter, um heimlich über Base64-codierte Kommentare auf VirusTotal zu kommunizieren. Die Gruppe nutzt auch legitime Cloud-Dienste für Kommunikationskanäle und setzt Microsoft OneDrive und Yandex Cloud für C2 und Datenexfiltration ein. Die Aufrechterhaltung der Persistenz erfolgt oft durch das Erstellen geplanter Aufgaben, die das Verhalten vertrauenswürdiger Anwendungen wie Google Chrome oder Yandex Disk nachahmen, was ihre Präsenz weiter verschleiert.\n\nNeben Windows-basierten Tools setzt APT31 Linux-Backdoors wie AufTime ein, das wolfSSL für verschlüsselte Kommunikation nutzt, und COFFProxy, eine in Golang geschriebene Backdoor für Traffic-Tunneling und Payload-Auslieferung. Weitere spezialisierte Tools umfassen Owawa, ein bösartiges IIS-Modul zum Diebstahl von Anmeldedaten, und LocalPlugX, eine Variante der PlugX-Malwarefamilie zur Verbreitung im lokalen Netzwerk. Die Fähigkeit der Gruppe, Traffic mit Technologien wie Tailscale VPN und Microsoft-Entwicklertunneln zu tunneln, hilft ihnen, sichere, verschlüsselte Verbindungen zwischen infizierten Systemen und ihren Kommando-Servern zu schaffen.\n\nInsgesamt hat APT31 durch die Kombination alter und neuer Angriffsvektoren sowie den strategischen Einsatz von Cloud-Plattformen und Angriffszeiten außerhalb der Geschäftszeiten ermöglicht, jahrelang unbemerkt in den Infrastrukturen der Opfer zu verbleiben. Diese stille, aber effektive Spionagekampagne führte zum Diebstahl sensibler Daten, einschließlich Passwörtern für Mailboxen und interne Dienste, und unterstreicht die anhaltende Herausforderung, hochgradig zielgerichtete IT-Umgebungen vor ausgeklügelten staatlichen Akteuren zu schützen.
