Der als BackdoorDiplomacy bekannte Bedrohungsakteur wurde mit einer neuen Angriffswelle in Verbindung gebracht, die sich zwischen Juli und Ende Dezember 2022 gegen iranische Regierungsstellen richtete.
Palo Alto Networks Unit 42, die die Aktivitäten unter dem Namen Playful Taurus (Stier) verfolgt, hat beobachtet, dass die Regierungsdomänen versuchten, sich mit einer Malware-Infrastruktur zu verbinden, die zuvor mit dem Angreifer in Verbindung gebracht wurde.
Die chinesische APT-Gruppe, die auch unter den Namen APT15, KeChang, NICKEL und Vixen Panda bekannt ist, hat mindestens seit 2010 eine Reihe von Cyberspionagekampagnen gegen staatliche und diplomatische Einrichtungen in Nordamerika, Südamerika, Afrika und dem Nahen Osten durchgeführt.
Das slowakische Cybersicherheitsunternehmen ESET deckte im Juni 2021 die Angriffe der Hackergruppe auf diplomatische Einrichtungen und Telekommunikationsunternehmen in Afrika und im Nahen Osten auf, bei denen ein spezielles Implantat namens Turian eingesetzt wurde.
Im Dezember 2021 gab Microsoft die Beschlagnahmung von 42 Domains bekannt, die von der Gruppe bei ihren Angriffen auf 29 Länder betrieben wurden, und wies darauf hin, dass die Gruppe Exploits gegen ungepatchte Systeme einsetzt, um internetorientierte Webanwendungen wie Microsoft Exchange und SharePoint zu kompromittieren.
Der Bedrohungsakteur wurde zuletzt für einen Angriff auf ein ungenanntes Telekommunikationsunternehmen im Nahen Osten verantwortlich gemacht, bei dem Quarian, ein Vorgänger von Turian, eingesetzt wurde, der einen Fernzugriff auf die Zielnetzwerke ermöglicht.
Turian „wird weiterhin aktiv weiterentwickelt und wir gehen davon aus, dass es ausschließlich von Playful Taurus-Akteuren verwendet wird“, so Unit 42 in einem Bericht, der The Hacker News vorliegt, und fügte hinzu, dass neue Varianten der Backdoor entdeckt wurden, die bei Angriffen auf den Iran verwendet wurden.
Das Cybersicherheitsunternehmen stellte außerdem fest, dass vier verschiedene iranische Organisationen, darunter das Außenministerium und die Organisation für natürliche Ressourcen, mit einem bekannten Command-and-Control-Server (C2) der Gruppe in Verbindung standen.
„Die Tatsache, dass diese Verbindungen zu der von Playful Taurus kontrollierten Infrastruktur täglich aufrechterhalten werden, deutet darauf hin, dass diese Netzwerke wahrscheinlich kompromittiert wurden“, so das Unternehmen.
Die neuen Versionen der Turian-Backdoor verfügen über eine zusätzliche Verschleierung und einen aktualisierten Entschlüsselungsalgorithmus, mit dem die C2-Server extrahiert werden können. Die Malware an sich ist jedoch sehr allgemein gehalten und bietet grundlegende Funktionen, um den C2-Server zu aktualisieren, mit dem man sich verbinden, Befehle ausführen und Reverse Shells erstellen kann.
Es wird vermutet, dass das Interesse von BackdoorDiplomacy, den Iran ins Visier zu nehmen, geopolitische Gründe hat, da es vor dem Hintergrund eines 25-jährigen umfassenden Kooperationsabkommens zwischen China und dem Iran steht, das die wirtschaftliche, militärische und sicherheitspolitische Zusammenarbeit fördern soll.
„Die spielerischen Stiere entwickeln ihre Taktik und ihre Ausrüstung ständig weiter“, so die Forscher. „Jüngste Upgrades der Turian-Backdoor und eine neue C2-Infrastruktur deuten darauf hin, dass diese Akteure bei ihren Cyberspionage-Kampagnen weiterhin erfolgreich sind.“