Home » News » Cybersecurity » Chinas Cyber-Spione im Behördennetz

Silver Dragon: : Chinas Cyber-Spione im Behördennetz

Eine neue, hochentwickelte Spionagekampagne rückt Behörden in Südostasien und Europa ins Visier. Die analysierte Gruppe „Silver Dragon“ setzt auf legitime Windows-Dienste, Cloud-Plattformen und maßgeschneiderte Werkzeuge, um unentdeckt zu bleiben – und könnte sich noch immer in kompromittierten Netzen befinden.

·

Redaktion IT-SICHERHEIT (cs)

2 Min. Lesezeit
Cyberspionage durch Chinesische Hacker
Foto: ©AdobeStock/Five Million Stock

Die Sicherheitsforensiker von Check Point Research berichten von einer seit mindestens Mitte 2024 aktiven Kampagne, die gezielt Regierungsorganisationen angreift. Aufgrund technischer und operativer Überschneidungen wird Silver Dragon mit hoher Wahrscheinlichkeit einem chinesischen Bedrohungsakteur zugerechnet, der vermutlich im Umfeld von APT41 operiert.

Langfristige Spionage statt schneller Sabotage

Das Opferprofil und die eingesetzten Werkzeuge deuten klar auf strategische Informationsbeschaffung. Die meisten bekannten Ziele befinden sich in Südostasien, weitere in Europa. Deutschland ist nach aktuellem Stand nicht betroffen.

Exploits und Phishing als Einstiegspunkte

Silver Dragon kombiniert mehrere Einstiegspunkte:

  • Ausnutzung öffentlich erreichbarer Server, um initialen Zugriff zu erlangen und sich anschließend lateral im Netzwerk zu bewegen
  • Gezielte Phishing-Kampagnen, etwa mit als offizielle Schreiben getarnten Anhängen an Regierungsstellen in Usbekistan

Während Betroffenen ein harmlos wirkendes Dokument angezeigt wird, starten im Hintergrund Schadkomponenten. Durch die Kombination von Exploits und Phishing erhöht die Gruppe ihre Erfolgsquote erheblich.

Tarnung in legitimen Windows-Diensten

Charakteristisch ist die ausgefeilte Persistenzstrategie. Statt neue, auffällige Dienste anzulegen, kapern die Angreifer bestehende Windows-Dienste, stoppen sie und registrieren sie neu, um Schadcode unter vertrauenswürdigen Namen auszuführen. Betroffen waren unter anderem Komponenten rund um Windows Update, Bluetooth-Dienste und Dienstprogramme des .NET Framework.

Diese Technik erschwert die Erkennung massiv, da sich die Malware in reguläre Systemaktivitäten einfügt und in großen Umgebungen kaum auffällt.

GearDoor: Command-and-Control über Google Drive

Eine zentrale Rolle spielt die maßgeschneiderte Backdoor „GearDoor“. Sie nutzt Google Drive als Kommunikationskanal. Jeder kompromittierte Rechner legt einen eigenen Cloud-Ordner an, lädt Statusinformationen hoch und ruft als normale Dateien getarnte Befehle ab. Ergebnisse werden wiederum über denselben Weg exfiltriert.

Da Cloud-Datenverkehr in Behörden und Unternehmen meist erlaubt ist, verschmilzt der bösartige Traffic mit legitimer Nutzung. Der Missbrauch vertrauenswürdiger Plattformen ist ein wachsender Trend in fortgeschrittenen Spionageoperationen.

Weitere Werkzeuge und Cobalt Strike

Nach erfolgreicher Infiltration kommen zusätzliche Tools zum Einsatz:

  • SilverScreen, das Screenshots aktiver Sitzungen erstellt
  • SSHcmd, ein schlankes Werkzeug zur Fernsteuerung und Dateiübertragung

In mehreren Infektionsketten wurde zudem Cobalt Strike als finale Nutzlast identifiziert. Die Kommunikation erfolgte über DNS, HTTP und teils interne Protokolle – unauffällig eingebettet in regulären Datenverkehr.

Klare Indizien für chinesischen Hintergrund

Die Attribution stützt sich auf mehrere Faktoren:

  • Übereinstimmungen bei Installations- und Persistenztechniken
  • Gemeinsame Tool-Verhaltensweisen und Entschlüsselungsroutinen
  • Konsistente operative Muster
  • Zeitliche Aktivitätsmuster im Einklang mit chinesischer Standardzeit

Die Gesamtbewertung der Indikatoren spricht deutlich für eine Verbindung zu China und eine Einbettung in das APT41-Ökosystem.

Konsequenzen für Verteidiger

Die Kombination aus legitimen Diensten, Cloud-Plattformen und maßgeschneiderter Malware ist extrem gefährlich – und Silver Dragon beherrscht dieses Spiel perfekt. Klassische Perimeter-Abwehr reicht nicht mehr aus. Notwendig ist eine umfassende Überwachung von Endpunkten, internen Netzwerkbewegungen und Cloud-Diensten, sowie eine Sicherheitsarchitektur, die den Fokus auf Prävention legt.

Gerade Organisationen mit strategischer Bedeutung sollten öffentlich erreichbare Systeme konsequent härten, E-Mail-Sicherheit ausbauen und Änderungen an Windows-Diensten eng überwachen. Denn die größte Gefahr liegt nicht im lauten Angriff – sondern in der leisen, langfristigen Präsenz im System.

Weitere Informationen inklusive technischer Details gibt es hier.

 

 

Weitere Artikel zum Thema: 

Warum Prävention jetzt zählt

Wettrüsten für eine sichere Software-Supply-Chain

 

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Cyberresilienz

Vom Schutz zur Widerstandskraft

Cyberangriffe nehmen zu, Ausfallzeiten werden teurer – trotz hoher Investitionen in Prävention und Detektion. Sicherheitsverantwortliche ziehen daraus Konsequenzen: Weg von der rei...

Security Management
ISO 27001

ISMS nach ISO 27001 im Schnellverfahren? Warum viele Versprechen trügen

Immer mehr Anbieter versprechen eine ISMS-Implementierung nach ISO 27001 Zertifizierung in Rekordzeit. Doch ein ISMS lässt sich nicht wie Software installieren. Ein Blick auf Audit...

Security Management
DDOS-Attacke

DDoS-Angriff auf Deutsche Bahn zeigt Schwachstellen der Digitalisierung

Ein Cyberangriff legte in der vergangenen Woche das Buchungssystem der Deutschen Bahn stundenlang lahm. Daten wurden offenbar nicht gestohlen, doch der Vorfall wirft grundlegende F...

KRITIS