Emperor Dragonfly, eine bekannte chinesische staatlich unterstützte Bedrohungsgruppe, hat kürzlich etwas Ungewöhnliches getan – sie setzte einen Ransomware-Encryptor im Netzwerk eines Ziels ein. Ein Bericht des Threat Hunter Teams von Symantec, das den Angriff Ende 2024 beobachtete, stellte fest, wie die Gruppe auf mehreren Anlässen beobachtet wurde, wie sie – was sie normalerweise tut – bösartige DLL-Dateien (über eine legitime Toshiba- ausführbare Datei) seitenluden, um Backdoors einzufügen und Persistenz herzustellen. Das Ziel war, wie üblich bei staatlich unterstützten Angreifern, Cyber-Spionage. Die Opfer waren größtenteils Außenministerien osteuropäischer Länder und ähnliche staatliche Stellen. Jedoch wurde Ende 2024 Emperor Dragonfly dabei beobachtet, dass sie dieselbe Methode zur Herstellung der Persistenz verwendeten – und dann einen Ransomware-Encryptor – gegen ein asiatisches Software- und Dienstleistungsunternehmen einsetzten. Die Gruppe verwendete die Ransomware-Variante RA World und forderte 2 Millionen US-Dollar Lösegeld (1 Million, wenn innerhalb von drei Tagen gezahlt).

Für chinesische staatlich unterstützte Bedrohungsakteure ist dies äußerst ungewöhnlich, sagt Symantec. Nordkoreanische Akteure sind häufig in Ransomware involviert und verwenden das gestohlene Geld, um ihre staatlichen Stellen und Waffenprogramme zu finanzieren. Die Chinesen sind jedoch eher an Cyber-Spionage interessiert. Trotzdem vermutet Symantec, dass der Ransomware-Angriff in diesem Fall eine Ablenkung gewesen sein könnte, um die Spuren einer größeren Operation zu verwischen – höchstwahrscheinlich eine Spionageoperation. Der ursprüngliche Angriffsvektor wurde nicht bekannt gegeben, aber die Hacker gaben an, dass sie eine bekannte Palo Alto PAN-OS-Schwachstelle (CVE-2024-0012) ausnutzten, um in die Infrastruktur einzudringen. „Der Angreifer erklärte dann, dass Administratorkennwörter aus dem Intranet des Unternehmens abgegriffen wurden, bevor sie Amazon S3-Cloud-Kennwörter von seinem Veeam-Server stahlen, sie benutzten, um Daten aus seinen S3-Eimern zu stehlen, bevor sie die Computer verschlüsselten“, erklärten die Forscher. Der letzte Schritt war die Verwendung der gleichen DLL-Seitenlade-Methodik.