TA-ShadowCricket: Chinesische Hackergruppe bedroht Asien-Pazifik-Region

SEOUL / LONDON (IT BOLTWISE) – Eine raffinierte, mit China verbundene Hackergruppe namens TA-ShadowCricket hat über ein Jahrzehnt hinweg verdeckte Cyber-Spionage-Operationen gegen Regierungs- und Unternehmensnetzwerke in der Asien-Pazifik-Region durchgeführt.

Die Hackergruppe TA-ShadowCricket, die zuvor als Shadow Force bekannt war, hat seit 2012 kritische Infrastrukturen infiltriert und dabei bemerkenswerte Ausdauer und operative Disziplin gezeigt. Im Gegensatz zu modernen Ransomware-Gruppen, die auf schnelle finanzielle Gewinne abzielen, konzentriert sich TA-ShadowCricket auf langfristige Informationsbeschaffung und die Aufrechterhaltung eines verdeckten Zugangs zu kompromittierten Systemen.

Die Gruppe nutzt hauptsächlich die Ausnutzung des Remote Desktop Protocol (RDP) und den Missbrauch von SQL-Anmeldedaten, um sich initialen Zugang zu Zielnetzwerken zu verschaffen. Ihre ausgeklügelte Kommando- und Kontrollinfrastruktur basiert auf einem IRC-Server mit einer koreanischen IP-Adresse, der laut forensischer Analysen über 2.000 kompromittierte Systeme in 72 Ländern weltweit kontrolliert.

Die geografische Verteilung der infizierten Systeme zeigt signifikante Konzentrationen in China, Korea und Indien, was auf eine strategische Ausrichtung im Einklang mit geopolitischen Interessen hindeutet. Sicherheitsanalysten haben die Verbindung der Gruppe zu chinesischer Infrastruktur durch forensische Untersuchungen von Kontrollsitzungen identifiziert, von denen viele auf chinesische IP-Adressen zurückverfolgt wurden.

Forscher von AhnLab, in Zusammenarbeit mit dem National Cyber Security Center (NCSC) Südkoreas, bestätigten die Verbindung zwischen den aktuellen Operationen und der historischen Shadow Force-Malware-Linie durch detaillierte Malware-Analyse und Infrastrukturkorrelation. Der operative Umfang der Gruppe geht weit über typische Cyberkriminalität hinaus, mit Hinweisen auf staatliche Informationsbeschaffung oder die Vorbereitung auf zukünftige disruptive Operationen wie DDoS-Angriffe.

TA-ShadowCricket verfolgt eine dreistufige Infektionsstrategie, die eine robuste Persistenz und umfassende Systemkontrolle gewährleistet. Die anfängliche Aufklärungsphase nutzt spezialisierte Werkzeuge wie Upm und SqlShell zur Privilegieneskalation und Systemenumeration, gefolgt von der Bereitstellung von Downloadern, die die Grundlage für tiefere Netzwerkinfiltration schaffen.

In der zweiten Phase werden Fernsteuerungsfähigkeiten durch die Maggie- und Sqldoor-Backdoors eingeführt, wobei die Maggie-Malware bemerkenswerterweise als Extended Stored Procedure (ESP) für Microsoft SQL Server implementiert ist, was Angreifern ermöglicht, die Kontrolle durch legitime SQL-Abfragen aufrechtzuerhalten. Die finale Persistenzphase setzt Werkzeuge zur Anmeldeinformationsbeschaffung, API-Hooking-Mechanismen durch Detofin-Malware und Kryptowährungs-Mining-Fähigkeiten ein, die sowohl fortlaufenden Zugang als auch potenzielle Einnahmen bieten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!