Die Cybersicherheitsfirma SentinelOne hat eine bedeutende Entdeckung gemacht, die erneut auf die wachsende Gefahr durch staatlich unterstützte Cyberangriffe hinweist. Ein chinesisch-nexus Bedrohungscluster, bekannt unter dem Namen PurpleHaze, steht im Verdacht, umfangreiche Spionageaktivitäten gegen die Infrastruktur von SentinelOne und ausgewählte Kundengruppen durchzuführen. Diese Kampagne beschreibt nicht nur das Ausmaß strategischer Cyberoperationen, sondern offenbart auch die ausgefeilten Methoden und Werkzeuge, auf die solche Akteure zurückgreifen. Die ersten Hinweise auf die Aktivitäten von PurpleHaze stammen aus dem Jahr 2024, als bei einem Unternehmen, das für die Hardwarelogistik von SentinelOne-Mitarbeitern verantwortlich war, ein Einbruch festgestellt wurde. Diese Präzisionsangriffe sind typisch für Akteure mit staatlichem Rückhalt, die über erhebliche Ressourcen verfügen, um gezielte und komplexe Angriffe auf kritische Unternehmen durchzuführen.
PurpleHaze wird mit der bekannten Hackergruppe APT15 in Verbindung gebracht, die auch unter anderen Namen wie Flea, Nylon Typhoon oder Vixen Panda operiert. Die Analyse von SentinelOne zeigt auf, wie PurpleHaze nicht nur auf das Unternehmen selbst, sondern auch auf einige finanzielle und staatliche Organisationen in Südasien zielt. Im Oktober 2024 wurde beispielsweise eine Regierungsunterstützende Institution Ziel dieser Cyberoperationen. Dabei setzten die Angreifer ein neuartiges Netzwerk aus sogenannten Operational Relay Boxen (ORB) ein, das ihnen ermöglicht, ihre Infrastruktur schnell zu erweitern und dynamisch anzupassen, um die Nachverfolgung zu erschweren. Ein wesentliches Instrument in diesen Angriffen ist eine Backdoor namens GoReShell, programmiert in der Go-Sprache.
Diese nutzt die Funktionalitäten von reverse_ssh, einem bekannten Open-Source-Tool, um rückwärtsgerichtete SSH-Verbindungen zu kompromittierten Systemen herzustellen. Damit können Angreifer unbemerkt Zugang erhalten und ihre Aktivitäten innerhalb der Zielnetzwerke aufrechterhalten. Darüber hinaus hat SentinelOne festgestellt, dass diese südasianische Regierungseinrichtung bereits im Juni 2024 Opfer eines Angriffs mit dem Backdoor-Tool ShadowPad wurde. ShadowPad, auch bekannt als PoisonPlug, ist ein Rückkehrer unter chinesisch-nexus Cyberangriffen und gilt als Nachfolger des Backdoors PlugX. Die Kampagne macht deutlich, dass solche Tools nicht nur zum Spionieren dienen, sondern auch als Einfallstor für andere bösartige Software, beispielsweise Ransomware, missbraucht werden können.
Interessanterweise sind die genutzten ShadowPad-Komponenten mithilfe eines eigens entwickelten Compilers namens ScatterBrain verschleiert. Diese Verschleierungstechnik erschwert es Sicherheitsexperten, die Schadsoftware rechtzeitig zu erkennen und zu analysieren. Die Angriffe mit ShadowPad im Jahr 2024 richteten sich gegen mehr als 70 Organisationen aus vielfältigen Branchen wie Fertigung, Staat, Finanzen, Telekommunikation und Forschung. Die häufigste Eintrittspforte war eine bisher bekannte und ausgenutzte Schwachstelle in Check Point Gateway-Geräten, sogenannte N-Day-Exploits. SentinelOne betont, dass trotz der Verbindungen dieser Angriffe zu einem für sie logistischen Partnerunternehmen keinerlei Hinweise auf eine Kompromittierung der eigenen Systeme gefunden wurden.
Trotzdem zeichnet die Gesamtschau ein Bild von einer gut organisierten und adaptiven Gruppe, die ihre Operationen im Laufe der Zeit verfeinert und erweitert. Neben den direkten Spionageaktivitäten gegen SentinelOne und dessen Partnerunternehmen beobachtete das Unternehmen auch eine Welle verdächtiger Aktivitäten aus Nordkorea. So wurden etwa rund 360 gefälschte Identitäten geschaffen, über die mehr als 1.000 Bewerbungen von IT-Mitarbeitern mit Nordkorea-Bezug bei SentinelOne eingingen. Dieses Vorgehen zielt offensichtlich darauf ab, sich Zugang zu internen Sicherheitsbereichen zu verschaffen und verdeckte Operationen durchzuführen.
Darüber hinaus stehen Firmen wie SentinelOne zunehmend im Visier von Ransomware-Gruppen, die versuchen, Zugang zu hochentwickelten Sicherheitstools zu bekommen. Diese Gruppen nutzen ein florierendes Untergrund-Ökosystem, das Kauf, Verkauf und Vermietung des Zugriffs auf Sicherheitsplattformen über verschiedene Messenger-Dienste und spezialisierte Foren organisiert. Ein prominentes Dienstleistungskonzept dabei ist das sogenannte "EDR Testing-as-a-Service", bei dem Angreifer ihre Schadsoftware in semi-privaten Umgebungen testen können, um deren Erkennungsmechanismen zu umgehen. Die Ransomware-Gruppe Nitrogen, die mutmaßlich von einem russischen Staatsbürger geführt wird, setzt dabei besonders auf komplexes Social Engineering. Anstatt sich auf Insider oder gestohlene Zugangsdaten zu verlassen, erzeugt sie täuschend echte Nachahmungen von Unternehmen, einschließlich gefälschter Domains, E-Mail-Adressen und geklonter Infrastruktur.
Diese Simulationen ermöglichen es ihnen, offiziell lizenzierte Endpoint-Detection-and-Response-Produkte (EDR) zu erwerben, um ihre Malware gegen diese Systeme zu testen und zu optimieren. Diese Vorgehensweise offenbart nicht nur die hohe Professionalität der Angreifer, sondern auch Schwächen bei den Kontrollmechanismen von kleineren Resellern, die oft unzureichende Überprüfungen (KYC – Know Your Customer) durchführen. Die Kombination aus technischer Raffinesse und manipulativer Täuschung macht der Cybersicherheitsbranche besonders zu schaffen. Die Beobachtungen von SentinelOne verdeutlichen die dynamische und ständig wachsende Komplexität von Cyberbedrohungen, die von staatlichen und kriminellen Akteuren ausgehen. Für Unternehmen und Organisationen bedeutet dies, dass sie ihre Sicherheitsstrategien fortlaufend anpassen und neue Technologien einsetzen müssen, um Angriffsmuster frühzeitig zu erkennen und abzuwehren.
Dabei reicht der Schutz nicht mehr allein durch das Implementieren von Sicherheitstools. Vielmehr wird die Kombination aus effektiven Kontrollen, kontinuierlicher Überwachung sowie gezielter Schulung und Sensibilisierung der Mitarbeiter immer wichtiger. Nur durch ein ganzheitliches Sicherheitsmanagement können Unternehmen die vielfältigen Gefahren durch Cyber-Spionage, Ransomware und Social-Engineering-Attacken minimieren. Parallel zeigt SentinelOnes Forschung, dass das Zusammenspiel von professioneller Bedrohungsanalyse, proaktiven Gegenmaßnahmen und internationaler Kooperation zur Schlüsselrolle wird, um gegen zunehmend komplexe Angriffsszenarien vorzugehen. Die Aufdeckung der PurpleHaze Kampagne liefert wertvolle Erkenntnisse darüber, wie sich die Bedrohungslandschaft in den kommenden Jahren weiterentwickeln könnte und welche Akteure besonders aktiv sind.
Für die Cybersicherheit bedeutet dies eine wichtige Mahnung und zugleich eine Chance, durch den Austausch von Informationen und kontinuierliche Forschung Angriffe besser verstehen und effektiver abwehren zu können. Denn nur durch einen innovativen und vernetzten Ansatz lassen sich langfristig dauerhafte Schutzmechanismen und Resilienz gegenüber hochentwickelten Cyberbedrohungen erreichen.
![The Death of Freakonomics – How Dubner and Levitt were proved wrong [video]](/images/CD15701A-58B9-43E7-8F5D-E1A25C60730C)
