Angreifer gaben sich als CDN-Infrastruktur aus. Bildnachweis: Darktrace
Hacker verbrachten Monate damit, Malware hinter einer gefälschten Internet-Infrastruktur im Apple-Stil und ähnlich gefälschten Windows-Popups zu verstecken, um Organisationen im gesamten asiatisch-pazifischen Raum zu infiltrieren, ohne offensichtliche Sicherheitsalarme auszulösen. So haben sie es gemacht.
Die Malware wurde als vertrauenswürdige Internet-Infrastruktur im Stil von Apple und Yahoo getarnt. Durch legitime Windows-Software und DLL-Sideloading wurde ein modularer RAS-Trojaner im normalen Netzwerkverkehr versteckt.
Die ersten Aktivitäten traten Ende September 2025 in Kundennetzwerken auf und betrafen vor allem Organisationen im asiatisch-pazifischen Raum und in Japan. Forscher beobachteten wiederholten Missbrauch vertrauenswürdiger ausführbarer Dateien und gefälschter CDN-Infrastrukturen in Unternehmensumgebungen.
Angreifer gaben sich als CDN-Infrastruktur großer Technologiemarken aus, um bösartigen Datenverkehr legitim erscheinen zu lassen. Durch vertrauenswürdige Windows-Binärdateien und DLL-Sideloading wurde dann ein modularer .NET-Fernzugriffstrojaner gestartet.
Die wiederholte Nutzung von Yahoo- und Apple-ähnlicher Infrastruktur umfasste die Domains yahoo-cdn[.]Es[.]com und icloud-cdn[.]netto. Betroffene Systeme haben legitime ausführbare Dateien heruntergeladen, bevor sie passende Konfigurationsdateien und schädliche DLLs abgerufen haben.
Schädliche DLLs kaperten vertrauenswürdige Prozesse und führten darin Malware aus. Die beobachtete Aktivität stimmt „mit mäßiger Zuversicht“ mit Handelsaktivitäten im Zusammenhang mit Twill Typhoon, einem chinesischen Bedrohungscluster, überein.
Die Forscher haben die Angriffe nicht direkt der chinesischen Regierung zugeschrieben und festgestellt, dass mehrere Techniken von mehreren mit China verbundenen Eindringlingsgruppen gemeinsam genutzt werden.
Angreifer versteckten Schadsoftware im Verhalten vertrauenswürdiger Software
Keine einzelne offensichtliche Malware-Datei war der Auslöser der Kampagne. Legitime Microsoft .NET- und Visual Studio-Prozesse, einschließlich dfsvc.exe und vshost.exe, trugen dazu bei, dass sich bösartiger Code in normale Windows-Aktivitäten einfügte.
In einer Einbruchskette wurde eine legitime ausführbare Datei von Sogou Pinyin mit einer bösartigen DLL namens browser_host.dll gepaart. Das normale DLL-Ladeverhalten ermöglichte es Angreifern, Schadcode quer in den vertrauenswürdigen Prozess zu laden und den Ausführungsfluss zu kapern.
Eine aktualisierte Version des FDMTP-Backdoor-Frameworks scheint die Nutzlast anzutreiben. Durch verschlüsselte Kommunikation, Plugin-Laden, Registry-Persistenz, geplante Aufgaben, Systemprofilierung und DMTP-Befehls- und Kontrollkanäle verschaffte sich Malware langfristig Zugriff auf kompromittierte Systeme.
Sperrlisten hatten Schwierigkeiten, die Kampagne zu erkennen, weil erkennbare Infrastrukturnamen und legitime Systemtools dazu führten, dass böswillige Aktivitäten dem normalen Unternehmensverkehr ähnelten. Die Verteidiger erkannten das Muster erst deutlich, nachdem sie die gesamte Hinrichtungskette angeschlossen hatten.
Verhalten war wichtiger als statische Indikatoren
Ausführungsmuster erwiesen sich als nützlicher als jedes einzelne Malware-Beispiel oder jeder einzelne Domänenname. Forscher beobachteten wiederholt, dass betroffene Systeme eine legitime ausführbare Datei herunterluden, eine passende Konfigurationsdatei abriefen und eine schädliche DLL von der Seite herunterluden.
Command-and-Control-Registrierung folgt über einen /GetCluster-Endpunkt unter Verwendung von DMTP-Verkehr.
Ein konsistentes Ausführungsverhalten gab Verteidigern eine dauerhaftere Möglichkeit, ähnliche Aktivitäten zu erkennen. Infrastruktur und Nutzlast änderten sich im Laufe der Vorfälle, das Ausführungsmodell blieb jedoch stabil.
Mehrere technische Details deuteten auf einen ausgereiften Betrieb hin. Laufzeit-String-Entschlüsselung, AES-verschlüsseltes Payload-Staging, Plugin-Persistenz über Registrierungsschlüssel und Fallback-Ausführungsmethoden unterstützten den langfristigen Zugriff über verschiedene .NET-Umgebungen hinweg.
Zu den veröffentlichten Indikatoren für eine Kompromittierung gehörten bösartige DLL-Hashes, gefälschte CDN-Infrastruktur und mit der Aktivität verbundene Infrastruktur. MITRE ATT&CK-Zuordnungen verknüpften den Vorgang mit DLL-Injektion, Registrierungspersistenz, reflektierendem Code-Laden, geplanten Aufgaben und Command-and-Control-Verkehr.
Wie sich Apple-Nutzer schützen können
Die meisten Apple-Benutzer werden dieser raffinierten Kampagne nicht direkt begegnen, aber dieser Vorfall zeigt, wie moderne Malware vertrauenswürdige Software und bekannte Infrastrukturnamen ausnutzt. Gefälschte Apple-Domains und legitimer Datenverkehr können dazu führen, dass bösartige Aktivitäten mit herkömmlichen Sicherheitstools schwerer zu erkennen sind.
Schädliche DLLs kaperten vertrauenswürdige Prozesse und führten darin Malware aus. Bildnachweis: DarktraceDie Aktualisierung von macOS ist effektiv, da Apple die mit Gatekeeper, XProtect und Beglaubigung verbundenen Malware-Abwehrmaßnahmen patcht. Vermeiden Sie es, Sicherheitsaufforderungen zu umgehen, um nicht signierte Apps oder Entwicklertools aus unbekannten Quellen zu installieren.
Entwickler und Unternehmensanwender sind einem höheren Risiko durch Angriffe auf die Lieferkette ausgesetzt, die auf Software-Ökosysteme und interne Tools abzielen. Multi-Faktor-Authentifizierung, sorgfältige NPM-Paket- und Plugin-Überprüfungen sowie strengere Kontrollen von Entwicklerkonten reduzieren die Gefährdung.
Netzwerküberwachungstools können verdächtigen ausgehenden Datenverkehr identifizieren, der sich einmischt. Dienstprogramme wie Little Snitch geben Mac-Benutzern Einblick, welche Anwendungen eine Verbindung zu externen Servern herstellen.