Kurz nach dem Aufflammen der kriegerischen Auseinandersetzungen in der Region des Persischen Golfs machten sich Bedrohungsakteure diesen Konflikt bereits für eine virtuelle Angriffskampagne zunutze. Die Sicherheitsexperten von ThreatLabz beobachten seit dem 1. März 2026 einen neuen Cyberangriff zur Auslieferung einer PlugX-Backdoor-Variante. Aufbauend auf den aufgedeckten Tools, Techniken und Prozessen der Multi-Stage-Kampagne schreiben die Analysten des ThreatLabz-Teams diese Kampagne dem China-Nexus Threat-Aktor zu. Die eingesetzten Verschleierungstechniken wie Control Flow Flattening (CFF) und Mixed Boolean Arimetric (MBA) sollen ein Reverse Engineering verhindern. Die PlugX-Variante der Kampagne unterstützt HTTPS für die Command und Control-Kommunikation und DNS-over-HTTPS (DoH) für die Domain-Auflösung.
Die neu identifizierte Kampagne ist ein Beispiel dafür, wie schnell moderne Threat-Akteure das aktuelle Zeitgeschehen für sich nutzen. Als Social Engineering-Köder verwendeten die Angreifer ein arabischsprachiges PDF-Dokument, das angebliche iranische Raketenangriffe auf einen US-Stützpunkt in Bahrain thematisiert. Die Bedrohungsakteure – nach Einschätzung von ThreatLabz mit hoher Wahrscheinlichkeit dem China-Nexus zuzuordnen und potenziell mit der Mustang Panda-Gruppierung (auch bekannt als PKPLUG) verbunden – nutzen die emotionale und nachrichtliche Brisanz des Konflikts aus, um ihre Opfer zur Interaktion mit Schadcode-behafteten Dateien zu verleiten.
Das Ziel dieser Angriffskette ist die Installation einer maßgeschneiderten Variante der bekannten PlugX-Backdoor. Um forensische Analysen und das Reverse Engineering maximal zu erschweren, setzen die Angreifer sowohl beim Shellcode als auch bei der PlugX-Malware auf fortschrittlichste Obfuskationstechniken:
Die PlugX-Variante nistet sich anschließend tief im System ein und umgeht über die Fodhelper-Methode die Windows-Benutzerkontensteuerung (UAC). Um langfristige Persistenz zu erlangen, richtet sich die Malware als unauffälliger Windows-Dienst unter dem Namen „Microsoft Desktop Dialog Broker“ ein.
Auf Netzwerkebene beweist die Malware ebenfalls eine hohe Ausgereiftheit: Die Command-and-Control (C2) Kommunikation erfolgt verschlüsselt über HTTPS auf Port 443. Zudem nutzt diese PlugX-Variante das DNS-over-HTTPS (DoH) Protokoll über legitime Google DNS Server (dns.google), um bösartige Domänen aufzulösen und netzwerkseitige Erkennungen effektiv zu umgehen. Ziel der Spionage ist unter anderem das systematische Abgreifen von Dokumenten der jeweils letzten 30 Tage.
Nur eine hochintegrierte Sicherheitsplattform, die Bedrohungen proaktiv auf allen Ebenen blockiert, bietet einen verlässlichen Schutz vor solch hochkomplexen Angriffsketten. Das ThreatLabz-Team rät zudem zur Vorsicht beim Öffnen unaufgefordert zugesandter Dateien sowie beim Anklicken von Links, die angebliche News oder aktuelle Informationen zur aktuellen geopolitischen Lage im Nahen Osten enthalten.
Zscaler (NASDAQ: ZS) ist ein Pionier und weltweit führender Anbieter von Zero Trust-Sicherheitslösungen. Die weltweit größten Unternehmen, kritische Infrastrukturbetreiber und Regierungsbehörden vertrauen auf Zscaler, um User, Zweigstellen, Anwendungen, Daten und Geräte zu schützen und Initiativen zur digitalen Transformation zu beschleunigen. Die Zscaler Zero Trust Exchange™-Plattform, die auf über 160 Rechenzentren weltweit verteilt ist, bekämpft in Kombination mit fortschrittlicher KI täglich Milliarden von Cyber-Bedrohungen und Richtlinienverstößen und ermöglicht modernen Unternehmen Produktivitätssteigerungen durch Reduzierung von Kosten und Komplexität.
Kafka Kommunikation GmbH & Co. KG
Telefon: 089 747470580
E-Mail: info@kafka-kommunikation.de