Inhalt
Eine neue Cyber-Spionagekampagne ist kürzlich bekannt geworden, die diplomatische und staatliche Organisationen in ganz Südasien ins Visier nimmt. Der Bedrohungsakteur, bekannt als SideWinder, startete diese Operation im September 2025 mit Fokus auf Einrichtungen wie eine europäische Botschaft in Neu-Delhi, Indien, sowie verschiedene Institutionen in Sri Lanka, Pakistan und Bangladesch. Diese Kampagne markiert eine Weiterentwicklung in SideWinders Taktiken, Techniken und Verfahren (TTPs), insbesondere mit der Einführung einer neuartigen Infektionskette, die PDF-Dateien und ClickOnce-Anwendungen nutzt und ihre frühere Verwendung von Microsoft Word-Exploits ergänzt.
Forscher von Trellix, Ernesto Fernández Provecho und Pham Duy Phuc, beschrieben, wie die Angreifer zwischen März und September 2025 in vier Wellen Spear-Phishing-E-Mails versendeten. Diese E-Mails enthielten bösartige Anhänge, die als offizielle Dokumente getarnt waren, mit Titeln wie „Inter-ministerial meeting Credentials.pdf“ oder „India-Pakistan Conflict - Strategic and Tactical Analysis of May 2025.docx“. Die E-Mails stammten von einer Domain, die das pakistanische Verteidigungsministerium nachahmte, um die Täuschung zu verstärken.
Der initiale Infektionsvektor bei diesen Angriffen besteht darin, bösartige PDF- oder Word-Dateien zu versenden. Die PDF-Dateien enthalten eine Schaltfläche, die die Empfänger auffordert, die neueste Adobe Reader-Version herunterzuladen und zu installieren, doch ein Klick darauf löst den Download einer ClickOnce-Anwendung von einem entfernten Server aus. Diese Anwendung, „ReaderConfiguration.exe“, ist eine legitime ausführbare Datei von MagTek Inc., die mit einer gültigen digitalen Signatur versehen ist, was sie vertrauenswürdig erscheinen lässt. Beim Start lädt sie eine bösartige DLL namens „DEVOBJ.dll“ nach, die wiederum einen .NET-Loader namens ModuleInstaller entschlüsselt und ausführt.
ModuleInstaller spielt eine entscheidende Rolle bei der Profilerstellung des infizierten Systems und dem Herunterladen weiterer bösartiger Nutzlasten, darunter StealerBot. StealerBot ist ein fortschrittliches .NET-Implantat, das Reverse Shells starten, zusätzliche Malware ausliefern und sensible Daten wie Screenshots, Tastatureingaben, Passwörter und Dateien sammeln kann. Sowohl ModuleInstaller als auch StealerBot wurden erstmals öffentlich von Kaspersky im Oktober 2024 identifiziert und stehen im Zusammenhang mit SideWinders früheren Angriffen auf strategische Infrastrukturen im Nahen Osten und Afrika.
Frühere Angriffe, die im Mai 2025 von Acronis gemeldet wurden, richteten sich ebenfalls gegen Regierungsinstitutionen in Sri Lanka, Bangladesch und Pakistan und nutzten bösartige Microsoft Office-Dokumente zur Auslieferung von StealerBot. Die neueste Kampagne erhöht die Raffinesse durch die Kombination von PDF- und Word-Dokumenten, geopolitisch kontextualisierte Phishing-E-Mails und die Ausnutzung legitimer Software zum Side-Loading von Malware. Bemerkenswert ist, dass die Command-and-Control-Server den Zugriff auf Südasien beschränken und dynamische Download-Pfade generieren, was die Ermittlungen erschwert.
Die Kampagne spiegelt SideWinders anhaltende Bemühungen wider, ihre Methoden zu verfeinern und der Entdeckung zu entgehen. Ihre mehrstufige Phishing-Strategie zeigt ein tiefes Verständnis der diplomatischen Landschaft und erstellt hochspezifische Köder, um den Erfolg zu maximieren. Die Nutzung maßgeschneiderter Malware und legitimer signierter Anwendungen zur Auslieferung der Nutzlast unterstreicht ihren Fokus auf Umgehung und langfristige Spionageziele. Die Erkenntnisse von Trellix heben die anhaltende Bedrohung hervor, die diese Gruppe für diplomatische und staatliche Stellen in einer geopolitisch sensiblen Region darstellt.
