Wenn Cyberangriffe kulturell anpassungsfähig werden
Die Cybersicherheitslandschaft in Südasien bleibt ein geopolitisches Pulverfass. Wie Forscher von Seqrite Labs nun aufdecken, läuft eine gezielte Spear-Phishing-Kampagne gegen das afghanische Finanzministerium sowie gegen regionale Finanz- und Steuerbehörden im Land. Die Kampagne trägt den Codenamen Operation XENOFISCAL und wird der pakistanisch ausgerichteten Bedrohungsgruppe SideCopy zugeordnet – einem Akteur, der unter dem Dach der größeren APT36-Gruppierung (auch bekannt als Transparent Tribe) operiert.
Was diesen Angriff besonders interessant macht, ist nicht nur das Ziel, sondern die präzise handwerkliche und kulturelle Anpassung an die Zielumgebung.
Pashto als Angriffsvektor: Wenn die Sprache zur Falle wird
Die Angreifer scheuen keine Müden, um ihre Opfer in die Falle zu locken. Der initiale Kontakt erfolgt über ein ZIP-Archiv, das eine bösartige LNK-Datei enthält. Das Besondere: Der Dateiname ist sorgfältig in Pashto formuliert. Pashto ist die dominierende Sprache in afghanischen Regierungskreisen. Diese bewusste linguistische Anpassung ist weit mehr als nur ein übersetzter Betreff – sie demonstriert ein tiefes Verständnis der lokalen Bürokratie und ein hohes Maß an Vorbereitung. Regierungsangestellte sind deutlich eher geneigt, ein Dokument zu öffnen, das in ihrer Muttersprache und im behördeninternen Jargon verfasst ist.
Die technische Infektionskette: Ein Meisterwerk der Verschleierung
Sobald das Opfer die LNK-Datei ausführt, setzt eine komplexe Kette von Ereignissen ein, die typisch für SideCopy ist:
- mshta.exe als Sprungbrett: Die Windows-Verknüpfung nutzt das legitime System-Tool
mshta.exe, um eine Remote-HTML-Anwendung (HTA) von einer kompromittierten afghanischen Bildungsdomain herunterzuladen. Dies ist ein klassischer Living-off-the-Land-Ansatz, der Sicherheitslösungen umgehen soll. - In-Memory-Ausführung: Die abgerufene HTA-Datei führt stark verschleierten JavaScript-Code direkt im Arbeitsspeicher aus. Dateien auf der Festplatte werden so minimiert.
- Persistenz und Tarnung: Die Malware trägt sich in die Windows-Registry ein, wobei sie sich als Microsoft Edge-Prozess tarnt. Gleichzeitig wird ein Köder-Dokument (Decoy) per DLL-basiertem Loader auf dem System abgelegt, um den Eindruck eines legitimen Vorgangs zu erwecken.
- Der eigentliche Schädling: Der Loader installiert Xeno RAT in Version 1.8.7.
Xeno RAT: Open-Source-Bewaffnung auf Staatsebene
Die Wahl auf Xeno RAT zu fallen, ist ein Paradebeispiel für einen wachsenden Trend in der Cybersicherheit: Die Nutzung von frei verfügbaren Open-Source-Tools durch staatlich verbundene Akteure (APTs). Xeno RAT ist ein leistungsstarker Remote Access Trojaner, der über TCP eine Verbindung zu einem Command-and-Control-Server herstellt.
Die Funktionsvielfalt des RATs ist erschreckend umfassend:
- Laden und Ausführen externer DLL-Module
- Einrichten von SOCKS5-Proxys für Netzwerktunneling
- Keylogging, Screenshot-Erstellung und Zwischenablage-Überwachung
- Zugriff auf Webcam und Mikrofon
- Auslesen von Antivirus-Informationen des Zielsystems
- Selbst-Deinstallation zur Verwischung von Spuren
Dass APT-Gruppen wie SideCopy zunehmend auf Open-Source-Malware wie Xeno RAT oder Spark RAT setzen – wie bereits im April 2025 bei Angriffen auf Indien beobachtet –, senkt die Einstiegshürde für komplexe Operationen massiv. Die Entwicklungskosten sinken, während die Attribution durch die weite Verbreitung des Codes erschwert wird.
Die größere Perspektive: Transparent Tribe rüstet auf
Operation XENOFISCAL ist kein isolierter Vorfall, sondern Teil einer breiteren, bösartigen Cyberaktivität gegen südasiatische Entitäten. SideCopy agiert als Untergruppe von Transparent Tribe (APT36), die in der Region Indien und Afghanistan fest verankert ist.
Ein paralleler Bericht unterstreicht die Anpassungsfähigkeit der Gruppe: Transparent Tribe zielt derzeit auch auf die indische Militärinfrastruktur ab. Dabei nutzen die Angreifer jedoch nicht Windows, sondern Linux. Über WhatsApp-Social-Engineering werden Ziele kontaktiert, die mit der Beschaffung von indischen Panzerfahrzeugen zu tun haben. Die Malware nutzt präparierte .desktop-Dateien, die eine komplexe Shell-basierte Infektionskette starten, an deren Ende ein in Golang geschriebener ELF-Implant namens DeskRAT steht.
Fazit: Geopolitik meets Open-Source-Cybercrime
Die aktuellen Entwicklungen zeigen zwei Dinge sehr deutlich. Erstens: Die Grenzen zwischen staatlicher Cyberespionage und organisierter Kriminalität verschwimmen zunehmend, wenn APTs frei verfügbare RATs nutzen. Zweitens: Die Bedrohungsakteure passen sich nicht nur technologisch an, sondern auch kulturell und betriebssystemübergreifend. Ob Pashto-sprachige Köder für afghanische Bürokraten auf Windows oder Panzer-Lockangebote für indische Militärs auf Linux – die Angreifer kennen ihre Zielsysteme in- und auswendig.
Für Verteidiger bedeutet das, dass reines Signatur-Blocking nicht ausreicht. Es braucht ein tiefes Verständnis für die Taktiken, Techniken und Verfahren (TTPs) der Angreifer sowie eine Sensibilisierung der Mitarbeiter für hochgradig personalisierte Phishing-Versuche. Wenn die Malware kostenlos im Netz verfügbar ist, wird der menschliche Faktor zur letzten Verteidigungslinie.
Quelle: The Hacker News