Thought Leadership
Der europäische Cybersicherheitsspezialist NVISO hat eine großangelegte Kampagne zur Cyberspionage aufgedeckt. Über 1.500 Server waren betroffen und mit der modularen Backdoor VShell infiziert.
Die Malware wird vor allem mit chinesischsprachigen Akteuren in Verbindung gebracht und diente der langfristigen Infiltration von Regierungsbehörden, Gesundheitsdienstleistern, militärischen Einrichtungen und Forschungsorganisationen in Europa und weltweit.
NVISO mit Hauptsitz in Belgien stärkt seit 2013 die Widerstandsfähigkeit von Regierungen und Unternehmen gegen Cyberbedrohungen. Die aktuelle Untersuchung konnte erstmals die globale Nutzung von VShell mithilfe einer eigens entwickelten Erkennungsmethodik nachweisen. Der vollständige Report „Decoding VShell“ ist kostenfrei verfügbar.
Digitale Forensik deckt globale Infrastruktur auf
Die Entdeckung begann bei einer europäischen Organisation im Rahmen einer digitalen Forensik-Untersuchung. Weitere Analysen führten zur Identifizierung eines weltweiten Netzwerks von Command-and-Control-Servern. Diese waren hauptsächlich in Südamerika, Afrika und dem asiatisch-pazifischen Raum angesiedelt. Auch europäische Einrichtungen waren Ziel der Angriffe.
Die Kampagne spiegelt einen langfristigen Trend wider: Cyberspionage hat sich in den vergangenen zehn Jahren von offenem Datendiebstahl zu gezielten, unauffälligen Infiltrationsstrategien entwickelt. Angreifer nutzen zunehmend legitime Software in den Systemen der Opfer und zielen auf Firewalls, VPNs und andere schwer überwachbare Sicherheitskomponenten. Dabei geht es nicht mehr nur um den Diebstahl von Daten, sondern um strategischen Zugang zu kritischen Infrastrukturen in Bereichen wie Energie, Gesundheit, Kommunikation und Transport.
VShell als getarntes Werkzeug
VShell wurde ursprünglich als Open-Source-Sicherheitsprojekt entwickelt, hat sich jedoch zu einem leistungsfähigen Remote Access Trojaner entwickelt. Die Malware ist modular und plattformübergreifend. Sie ermöglicht verschlüsselte Kommunikation, Dateiübertragung, Bildschirmaufzeichnung und Befehlsausführung. Nach der Installation können Angreifer sich lateral durch Netzwerke bewegen und dabei kaum Spuren hinterlassen.
Während der forensischen Untersuchung entdeckte NVISO auf einem kompromittierten Server Spuren von VShell. Weitere Analysen enthüllten erstmals die globale Infrastruktur betroffener Systeme. In Zusammenarbeit mit Team Cymru konnten die Server bis auf Unternehmensebene zurückverfolgt werden.
Nutzung durch verschiedene Akteure
VShell wird häufig mit UNC5174 in Verbindung gebracht, einem mutmaßlichen Initial Access Broker mit Verbindungen zum chinesischen Ministerium für Staatssicherheit. NVISO bestätigt, dass chinesischsprachige Akteure die Malware am häufigsten einsetzen, doch auch andere staatliche und unabhängige Gruppen nutzten VShell. Durch die öffentliche Verfügbarkeit des Tools kann es sowohl für Spionage als auch für gezielte Angriffe auf Unternehmen des öffentlichen und privaten Sektors eingesetzt werden.
Die Kampagne zeigt, dass Cyberspionage heute weit über den reinen Diebstahl von Daten hinausgeht. Ziel ist langfristige Infiltration, Einflussnahme und mögliche Sabotage. NVISO betont die Bedeutung europäischer Cyberabwehrfähigkeiten und empfiehlt Unternehmen proaktive Maßnahmen. Dazu gehören das schnelle Patchen exponierter Systeme, die Segmentierung kritischer Netzwerke, mehrschichtige Erkennung unter Nutzung von Threat Intelligence und das aktive Monitoring auf Anzeichen einer Kompromittierung.
NVISO hat technische Indikatoren und Handlungsempfehlungen veröffentlicht, um Organisationen bei der Einschätzung ihres Risikos zu unterstützen. Betroffene Organisationen wurden informiert und bei den nächsten Schritten begleitet.
Kontinuierliche Bedrohungslage
Dies ist bereits die zweite öffentlich bekannt gewordene Kampagne in diesem Jahr, bei der NVISO Malware aufgedeckt hat, die für staatlich gesteuerte Spionage eingesetzt wird. Anfang des Jahres hatte NVISO die Malware BRICKSTORM identifiziert, ebenfalls mit Angriffen auf kritische Infrastrukturen in Verbindung. Die Untersuchungen verdeutlichen, dass VShell und ähnliche Tools Teil eines globalen Ökosystems für Cyberspionage sind, das Unternehmen und staatliche Einrichtungen gleichermaßen bedroht.
