Check Point Research (CPR), die Sicherheitsforensiker von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem Pionier und weltweit führenden Anbieter von Cyber-Sicherheitslösungen, haben eine Cyberspionagekampagne identifiziert, die sich gegen Regierungsorganisationen in Südostasien und Teilen Europas richtet. CPR nennt die Gruppe „Silver Dragon“ und nach Einschätzung der Sicherheitsexperten ist sie seit mindestens Mitte 2024 aktiv.
Die Kampagne kombiniert Server-Exploits, Phishing, maßgeschneiderte Malware und eine cloudbasierte Befehlsinfrastruktur, um langfristigen Zugriff auf die Zielumgebungen zu erlangen. Aufgrund mehrerer übereinstimmender Indikatoren geht CPR mit hoher Sicherheit davon aus, dass Silver Dragon ein mit China in Verbindung stehender Bedrohungsakteur ist, der wahrscheinlich unter dem Dach von APT41 operiert.
Das Besondere an Silver Dragon ist nicht eine einzelne Technik, sondern die Kombination: heimliche Persistenz innerhalb legitimer Windows-Dienste, Nutzung vertrauenswürdiger Cloud-Plattformen für Befehls- und Kontrollfunktionen und dazu ein Toolkit, das eher auf dauerhaften Zugriff als auf kurzfristige Sabotage schließen lässt.
Die wichtigsten Erkenntnisse in Kürze:
- Die chinesische Cyberspionagegruppe Silver Dragon zielt auf Regierungsministerien und Organisationen des öffentlichen Sektors in Südostasien und Europa.
- Zugang verschafft sich die Gruppe über öffentlich zugängliche Server und führt gezielte Phishing-Kampagnen gegen Regierungsstellen durch.
- Indem sie legitime Windows-Dienste kapern, verbleiben die Angreifer langfristig im System und können so Malware-Prozesse in die reguläre Systemaktivität einschleusen.
- Eine speziell angefertigte Backdoor namens „GearDoor“ ermöglicht verdeckte Command-and-Control-Kommunikation über Google Drive. Bösartiger Datenverkehr wird dabei mit normaler Cloud-Nutzung vermischt.
- Die Kampagne bleibt hochgradig gefährlich, da die Angreifer weiterhin vertrauenswürdige Unternehmensdienste und legitime Systemkomponenten missbrauchen, um unentdeckt zu bleiben.
- Aufgrund übereinstimmender technischer und operativer Indikatoren wird mit hoher Sicherheit davon ausgegangen, dass die Aktivitäten einen Bezug zu China haben und wahrscheinlich mit APT41 in Verbindung stehen.
Methoden und Ziele von Silver Dragon
In erster Linie zielt Silver Dragon auf staatliche Stellen ab, wobei die meisten identifizierten Opfer in Südostasien ansässig sind. Weitere Aktivitäten wurden in Europa beobachtet, wobei Deutschland nach aktuellem Kenntnisstand bisher nicht betroffen war.
Das Opferprofil in Verbindung mit den verwendeten Tools und Persistenzmethoden lässt darauf schließen, dass die Kampagne langfristige Spionage zum Ziel hat. Die Betreiber zeigen Geduld und operative Disziplin, was eher auf langfristige Informationsbeschaffung als auf finanziell motivierte Kriminalität hindeutet. Silver Dragon nutzt zudem zwei primäre Einstiegspunkte:
- Ausnutzung öffentlich zugänglicher Server
Die Gruppe greift öffentlich über das Internet zugängliche Systeme an und sobald ein Server kompromittiert ist, können sich die Angreifer tiefer in das interne Netzwerk einarbeiten und zusätzliche Tools einsetzen.
- Phishing-Kampagnen
CPR hat auch E-Mail-basierte Angriffe beobachtet, bei denen manipulierte Anhänge versendet wurden. In einer Kampagne wurden Phishing-E-Mails versendet, die als offizielle Mitteilungen an Regierungsstellen in Usbekistan getarnt waren. Während dem Benutzer ein gefälschtes Dokument zur Ablenkung angezeigt wurde, starteten im Hintergrund schädliche Komponenten. Durch die kombinierte Ausnutzung von Exploits in Verbindung mit Phishing-Attacken erhöht Silver Dragon seine Erfolgswahrscheinlichkeit, verschiedene Umgebungen zu infiltrieren.
Persistenz durch legitime Windows-Dienste
Ein charakteristisches Merkmal von Silver Dragon ist seine Persistenz. Anstatt offensichtlich bösartige Dienste einzusetzen, kapert die Gruppe legitime Windows-Dienste, stoppt sie und erstellt sie neu, um bösartigen Code unter vertrauenswürdigen Namen zu laden. Zu den beobachteten missbrauchten Diensten gehören Komponenten im Zusammenhang mit Windows Update, Bluetooth-Diensten und .NET Framework-Dienstprogrammen.
Diese Taktik ermöglicht es der Malware, sich in normale Systemaktivitäten einzufügen. Da die Dienstnamen legitim erscheinen, wird die Erkennung schwieriger, insbesondere in großen Umgebungen, in denen Systemdienste routinemäßig Lärm erzeugen.
GearDoor: Befehls- und Kontrollfunktion über Google Drive
Eine zentrale Komponente dieser Kampagne ist eine benutzerdefinierte Hintertür namens GearDoor. GearDoor nutzt Google Drive als Command-and-Control-Kanal (C2). Anstatt mit verdächtigen Infrastrukturen zu kommunizieren, tauschen infizierte Systeme Dateien mit einem dedizierten Google Drive-Konto aus.
Jeder kompromittierte Rechner erstellt einen eigenen Cloud-Ordner, lädt regelmäßig Heartbeat-Daten hoch und ruft als normale Dateien getarnte Befehle des Betreibers ab. Nach Ausführung der Aufgaben lädt er die Ergebnisse wieder an denselben Speicherort hoch.
Da Google Drive-Datenverkehr in Unternehmensumgebungen in der Regel erlaubt ist, ermöglicht dieses dateibasierte Modell, dass böswillige Kommunikation mit legitimen Aktivitäten vermischt wird. Dieser Ansatz spiegelt einen allgemeinen Trend bei fortgeschrittenen Bedrohungsoperationen wider: den Missbrauch vertrauenswürdiger Plattformen, um das Risiko einer Entdeckung zu verringern.
Welche Tools Silver Dragon nach der Infiltration nutzt
Silver Dragon setzt auch benutzerdefinierte Tools ein, um den Zugriff aufrechtzuerhalten und Informationen zu sammeln.
- SilverScreen erfasst Screenshots aktiver Benutzersitzungen bei minimaler Belastung des Systems und verschafft Betreibern so einen kontinuierlichen Überblick über die Benutzeraktivitäten.
- SSHcmd ist ein leichtgewichtiges SSH-Dienstprogramm, das die Ausführung von Befehlen und die Übertragung von Dateien aus der Ferne ermöglicht und sowohl direkte als auch interaktive Sitzungen unterstützt.
Zusammen deuten diese Tools eher auf einen dauerhaften Zugriff und kontinuierliche Überwachung statt auf bloße kurzfristige Sabotage hin.
Verwendung von Cobalt Strike
Über mehrere Infektionsketten hinweg war die endgültige Nutzlast Cobalt Strike, ein legitimes Penetrationtest-Framework, das häufig von Bedrohungsakteuren missbraucht wird.
In dieser Kampagne kommunizierten Beacons über DNS und HTTP und in einigen Fällen über interne Netzwerkprotokolle, wodurch der Befehlsverkehr weniger auffällig erschien, insbesondere in Kombination mit legitimen Diensten oder Cloud-Infrastrukturen.
Konsistente Bereitstellungsmuster und Konfigurationsüberschneidungen verstärken die Verbindung zwischen Silver Dragon und zuvor dokumentierten Aktivitäten mit Bezug zu China zusätzlich.
Attributionsbewertung
Check Point Research kommt mit hoher Sicherheit zu dem Schluss, dass Silver Dragon mit einem chinesischen Bedrohungsakteur in Verbindung steht und wahrscheinlich innerhalb des breiteren APT41-Ökosystems operiert.
Diese Einschätzung basiert auf folgenden Feststellungen:
- Es gibt starke Ähnlichkeiten bei der Installation und den Persistenztechniken
- Viele Überschneidungen bei den Tool-Verhaltensweisen und Entschlüsselungsroutinen
- Konsistente Betriebsmuster über alle Kampagnen hinweg
- Zeitliche Indikatoren, die mit der chinesischen Standardzeit übereinstimmen
Obwohl die Zuordnung bei Cyberangriffen selten auf einem einzigen Faktor basiert, stützt die Konvergenz technischer und operativer Beweise diese Schlussfolgerung.
Silver Dragon im Kontext aktueller Entwicklungen
Im Bereich der fortgeschrittenen Cyberspionage verdeutlicht Silver Dragon mehrere aktuelle Trends:
- Zunehmender Missbrauch vertrauenswürdiger Cloud-Plattformen für verdeckte Kommunikation
- Persistenztechniken, die sich in legitimem Systemaktivitäten verstecken
- Kontinuierliche Weiterentwicklung benutzerdefinierter Tools
- Anhaltender Fokus auf Regierungs- und strategische Ziele
Für Verteidiger verstärkt das die Notwendigkeit, über traditionelle Perimeter-Abwehrmaßnahmen hinauszuschauen. Die Überwachung muss sich auf Endpunkte, interne Netzwerkaktivitäten und Cloud-Dienste erstrecken. Legitime Plattformen können missbraucht und vertrauenswürdige Dienste können zu verdeckten Kanälen werden.
Unternehmen mit exponierter Infrastruktur und hohem strategischem Wert – insbesondere im öffentlichen Sektor – sollten der Aktualisierung von Systemen mit Internetanbindung, der Stärkung der E-Mail-Sicherheit und der genauen Überwachung von Änderungen auf Serviceebene in Windows-Umgebungen Priorität einräumen.
Fazit
Silver Dragon unterstreicht einen breiteren strategischen Trend in der fortgeschrittenen Cyberspionage. Anstatt sich ausschließlich auf maßgeschneiderte Infrastrukturen zu verlassen, schleusen sich staatlich orientierte Akteure zunehmend in legitime Unternehmenssysteme und vertrauenswürdige Cloud-Dienste ein. Dies verringert die Sichtbarkeit für herkömmliche Perimeter-Abwehrmaßnahmen und verlängert die Verweildauer in den Zielnetzwerken.
Für Führungskräfte ist die Schlussfolgerung klar: Die Gefährdung beschränkt sich nicht mehr nur auf offensichtliche Malware oder verdächtige externe Verbindungen. Zu den Risiken gehört nun auch der subtile Missbrauch legitimer Dienste, Cloud-Plattformen und zentraler Betriebssystemkomponenten.
Unternehmen benötigen eine integrierte, präventionsorientierte Sicherheitsarchitektur, die Netzwerk-, Endpunkt-, E-Mail- und Cloud-Umgebungen umfasst. Um sich vor Kampagnen wie Silver Dragon zu schützen, braucht es mehrschichtige Bedrohungsprävention, fortschrittliche Verhaltenserkennung und Threat Intelligence in Echtzeit.
Durch die Kombination von automatisierter Prävention mit konsolidierter Transparenz über alle Umgebungen hinweg können Unternehmen ihre Gefährdung reduzieren, versteckte Persistenztechniken erkennen und effektiver auf hochentwickelte, staatlich gelenkte Bedrohungen reagieren.
Weitere Informationen inklusive technischer Details finden Sie hier:https://blog.checkpoint.com/research/silver-dragon-china-nexus-cyber-espionage-group-targeting-governments-in-asia-and-europe/
