Thought Leadership
Eine Cyberbedrohung mit globaler Reichweite beschäftigt derzeit Sicherheitsforscher: Die Hackergruppe TA397, auch unter dem Namen „Bitter“ bekannt, greift seit längerer Zeit gezielt Behörden und Organisationen in Europa und Asien an.
Laut einer aktuellen Analyse der Cybersicherheitsfirma Proofpoint in Zusammenarbeit mit Threatray deuten umfangreiche Daten darauf hin, dass es sich um eine staatlich unterstützte Gruppe handelt, deren Aktivitäten im Interesse Indiens stehen.
Fokussierte Spionage im geopolitischen Kontext
Im Mittelpunkt der Aktivitäten steht das Ausspähen von Organisationen aus dem Verteidigungssektor sowie Regierungsstellen. Besonders betroffen sind Institutionen mit Verbindungen zu Ländern wie China, Pakistan und anderen Nachbarstaaten Indiens. Dabei werden nicht nur klassische Ziele wie Botschaften oder Ministerien angegriffen – auch europäische Einrichtungen mit strategischer Bedeutung für die Region geraten ins Visier.
Ein zentrales Mittel von TA397 sind präzise ausgerichtete Phishing-Kampagnen. Die Angreifer tarnen sich dabei oft als offizielle Stellen – etwa als Botschaften oder Regierungsbehörden – und passen ihre Nachrichteninhalte an aktuelle politische Ereignisse an. So erhöhen sie die Glaubwürdigkeit ihrer E-Mails und steigern die Wahrscheinlichkeit, dass Empfänger auf Anhänge oder Links klicken.
Technische Mittel und Vorgehensweise
TA397 verwendet primär Spear-Phishing als Einstiegsvektor. Zwar fehlt es den Ködern im Vergleich zu anderen Akteuren an Raffinesse, doch dafür experimentiert die Gruppe kontinuierlich mit neuen Angriffstechniken. Besonders auffällig ist die Nutzung geplanter Aufgaben („Scheduled Tasks“), um dauerhaft Zugriff auf kompromittierte Systeme zu erhalten. Anhänge oder Links führen zu automatisierten Prozessen, die Schadsoftware nachladen und installieren.
Dabei kommen verschiedene Dateiformate zum Einsatz – darunter MSC-, LNK-, CHM- und IQY-Dateien. Zudem wurde kürzlich eine Sicherheitslücke mit der Kennung CVE-2024-43572 ausgenutzt, um über Microsofts Search Connector Schadcode einzuschleusen.
Technische Spuren wie charakteristische URL-Muster, die Nutzung von Let’s-Encrypt-Zertifikaten oder die Einbindung von Rechner- und Benutzernamen in das sogenannte „Beaconing“ helfen, die Aktivitäten TA397 eindeutig zuzuordnen. Analysen der Infrastruktur legen nahe, dass die operative Steuerung der Angriffe weitgehend während der üblichen Arbeitszeiten in der indischen Zeitzone erfolgt.
Direkte Eingriffe und selektive Datenabflüsse
Die Gruppe agiert nicht ausschließlich automatisiert: In vielen Fällen greifen die Angreifer manuell auf Systeme zu, um gezielt Informationen zu extrahieren. Erst nach eingehender Prüfung des Zielsystems werden weitere Schadprogramme eingesetzt. So konnte der Diebstahl sensibler Dokumente – etwa militärischer Unterlagen aus Bangladesch – dokumentiert werden.
Die Analyse zeigt auch Überschneidungen bei den verwendeten Werkzeugen mit anderen bekannten indischen Hackergruppen. Dies deutet auf eine gemeinsame Ressourcenbasis oder zumindest eine enge Zusammenarbeit innerhalb eines staatlich geförderten Spionagenetzwerks hin.
Die Aktivitäten von TA397 stehen exemplarisch für eine moderne Form der Cyberspionage: gezielt, technisch anpassungsfähig und geopolitisch motiviert. Sicherheitsbehörden und Unternehmen in Europa und Asien sind gut beraten, ihre Schutzmechanismen stetig zu überprüfen – denn die Bedrohung ist nicht nur technisch raffiniert, sondern auch strategisch durchdacht.
