Thought Leadership
Die Sicherheitsforscher von Proofpoint haben eine aktuelle Kampagne der staatlich unterstützten Gruppe TA415 untersucht.
Die Angreifer, auch bekannt unter den Namen APT41, Brass Typhoon oder Wicked Panda, gingen im Sommer 2025 mit einer neuen, technisch raffinierten Methode gegen hochrangige Ziele in den USA vor.
Zwischen Juli und August richteten sich die Attacken gegen Regierungsbehörden, wissenschaftliche Einrichtungen und Think Tanks. Alle hatten eines gemeinsam: Sie beschäftigten sich mit den Handels- und Wirtschaftsbeziehungen zwischen den Vereinigten Staaten und China.
Um ihre Opfer zu täuschen, verschickte TA415 E-Mails im Namen seriöser Institutionen wie des US-China Business Council oder des Kongressausschusses zu strategischem Wettbewerb mit China. Die Inhalte griffen aktuelle politische und wirtschaftliche Entwicklungen auf, wodurch die gefälschten Nachrichten besonders glaubwürdig wirkten.
Neue technische Vorgehensweise
Anstelle klassischer Schadsoftware nutzten die Angreifer eine Funktion von Visual Studio Code (VS Code). Über sogenannte Remote Tunnels konnten sie mit legitimer Microsoft-Infrastruktur und GitHub-Authentifizierung unauffällig auf kompromittierte Systeme zugreifen.
Der Datenverkehr tarnte sich dabei im normalen Netzwerkbetrieb – ein Umstand, der die Erkennung erheblich erschwerte. Proofpoint beobachtete, dass TA415 zunehmend auf etablierte Cloud-Dienste wie Google Sheets, Google Calendar oder eben VS Code Remote Tunnels setzt, um verdeckte Steuerungskanäle einzurichten.
Die Angriffe starteten mit Links zu passwortgeschützten Archiven, die auf Plattformen wie Dropbox, Zoho WorkDrive oder OpenDrive lagen. In den Archiven befand sich eine vermeintliche Verknüpfungsdatei, die ein Batch-Skript ausführte. Dieses blendete ein defektes PDF ein, während im Hintergrund der eigentliche Schadcode, ein Python-Loader namens WhirlCoil, aktiv wurde.
WhirlCoil lud die VS Code-CLI direkt von Microsoft-Servern herunter, legte geplante Aufgaben für die wiederholte Ausführung an und eröffnete schließlich einen Remote-Tunnel, der den vollständigen Zugriff auf das infizierte System ermöglichte.
Einordnung und Hintergründe
TA415 ist seit Jahren im Bereich Cyberspionage aktiv und wird mit dem chinesischen Ministerium für Staatssicherheit in Verbindung gebracht. Offiziell operiert die Gruppe unter dem Firmennamen Chengdu 404 Network Technology. Bereits 2020 erhob die US-Regierung Anklage gegen Mitglieder dieser Einheit.
Proofpoint führt die aktuellen Aktivitäten klar auf TA415 zurück – unter anderem wegen Überschneidungen bei Infrastruktur, Techniken und typischen Zielgruppen.
Die zeitliche Nähe der Kampagnen zu heiklen Handelsgesprächen zwischen Washington und Peking legt nahe, dass TA415 vor allem Informationen sammeln wollte, die für Chinas wirtschaftliche und politische Strategie von Bedeutung sind. Die Mischung aus überzeugender inhaltlicher Tarnung, Missbrauch vertrauenswürdiger Dienste und einer Infektionskette ohne herkömmliche Schadsoftware macht diese Angriffe besonders schwer erkennbar und damit riskant für die betroffenen Organisationen.
