Unsichtbare Tunnel:: Chinesische Hackergruppe attackiert US-Institutionen
Eine aktuelle Analyse zeigt: Die mit China verbundene Hackergruppe TA415 setzt auf eine neuartige Angriffstechnik, die selbst erfahrene Sicherheitsteams vor große Herausforderungen stellt. Zwischen Juli und August 2025 wurden hochrangige Regierungsstellen, Think Tanks und Universitäten in den Vereinigten Staaten ins Visier genommen.
Die jüngsten Attacken der staatlich unterstützten Gruppe TA415 verdeutlichen, wie eng geopolitische Spannungen und digitale Spionage verwoben sind. Proofpoint dokumentiert in einer neuen Analyse, dass die Kampagnen gezielt jene Institutionen angriffen, die sich mit den wirtschaftlichen Beziehungen zwischen den Vereinigten Staaten und China befassen.
Geopolitik im Cyberspace
Um ihre Opfer zu täuschen, verschickten die Angreifer täuschend echt gestaltete Nachrichten. Diese gaben sich als Mitteilungen prominenter Stellen aus, darunter das „Select Committee on Strategic Competition between the United States and the Chinese Communist Party“ oder der US-China Business Council. Die Inhalte der E-Mail waren als Köder eng an aktuelle geopolitische Entwicklungen angelehnt. Die Angreifer stützten sich dabei auf öffentlich zugängliche Informationen, um ihre Täuschungen besonders überzeugend darzustellen. Gerade in einer Phase angespannter Handels- und Wirtschaftsgespräche bot dieser Kontext den idealen Nährboden, um Vertrauen zu erschleichen und die Opfer zum Öffnen manipulierter Dateien zu bewegen.
Strategiewechsel: Missbrauch legitimer Entwicklerwerkzeuge
Der technische Kern der Kampagne markiert eine deutliche Abkehr von klassischen Methoden. Statt Schadsoftware im herkömmlichen Sinn einzusetzen, griff TA415 auf die Remote-Tunnel-Funktion von Visual Studio Code zurück. Dieses von Microsoft bereitgestellte Entwicklerwerkzeug erlaubt es, über GitHub-Authentifizierung und die Infrastruktur des Konzerns sichere Verbindungen aufzubauen.
Gerade diese Legitimität macht die Technik so gefährlich. Der Datenverkehr verschwindet nahezu unsichtbar im Hintergrundrauschen normaler Netzaktivitäten. Proofpoint betont, dass TA415 immer häufiger auf vertrauenswürdige Dienste wie Google Sheets, Google Calendar oder eben Visual Studio Code Remote Tunnels als verdeckte Steuerungskanäle setzt.
Täuschungskette mit WhirlCoil
Die Angriffe begannen mit Links zu Cloud-Speichern wie Zoho WorkDrive, Dropbox oder OpenDrive. Dort fanden sich passwortgeschützte Archive, die eine präparierte Windows-Verknüpfungsdatei enthielten. Beim Öffnen wurde ein Batch-Skript ausgeführt, das ein defektes PDF als Ablenkung präsentierte.
Im Hintergrund jedoch aktivierte sich ein verschleierter Python-Loader mit dem Namen „WhirlCoil“. Dieser lud die Kommandozeilen-Schnittstelle von Visual Studio Code direkt von Microsoft-Servern herunter, richtete eine geplante Aufgabe zur wiederkehrenden Ausführung ein und baute anschließend einen Remote-Tunnel auf. So erhielten die Angreifer unbemerkt vollen Zugriff auf die kompromittierten Systeme.
Bekannte Gruppe mit langer Historie
TA415 ist kein unbeschriebenes Blatt. Unter den Namen APT41, Brass Typhoon oder Wicked Panda wird die Gruppe seit Jahren mit Cyberspionage in Verbindung gebracht. Sie operiert aus Chengdu unter dem Firmennamen Chengdu 404 Network Technology. Bereits 2020 erhob die US-Regierung Anklage gegen mehrere ihrer Mitglieder. Experten gehen davon aus, dass enge Verbindungen zum chinesischen Ministerium für Staatssicherheit bestehen.
Proofpoint weist den aktuellen Angriff mit hoher Sicherheit TA415 zu. Ausschlaggebend sind Überschneidungen bei der Infrastruktur, den eingesetzten Techniken und der Auswahl der Ziele.
Politische Brisanz der Angriffe
Die zeitliche Nähe der Kampagnen zu heiklen Wirtschaftsverhandlungen zwischen Washington und Peking deutet darauf hin, dass TA415 gezielt an Informationen gelangen will, die für die strategische Planung Chinas von Wert sind.
Die Kombination aus glaubwürdigem thematischem Kontext, Missbrauch vertrauenswürdiger Dienste und einer Infektionskette ohne klassische Schadsoftware macht diese Kampagne zu einer besonderen Bedrohung. Für viele herkömmliche Sicherheitslösungen bleibt der Angriff nahezu unsichtbar.
Fazit: Angriff der nächsten Generation
Die Analyse von Proofpoint zeigt, dass Cyberspionage zunehmend auf den Missbrauch legitimer Dienste setzt, anstatt auf auffällige Schadprogramme. Für Verteidiger bedeutet dies, dass klassische Erkennungsmechanismen immer weniger greifen. Wer auf die Bedrohung durch Akteure wie TA415 vorbereitet sein will, muss Netzwerkanomalien im Detail überwachen und den Missbrauch legitimer Plattformen als zentrales Angriffsmittel ernst nehmen.
Die vollständige technische Analyse mit Indikatoren und Belegen hat Proofpoint im englischen Original auf seinem Threat Blog veröffentlicht.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
