Cybersicherheitsforscher haben eine ausgeklügelte Spionagekampagne aufgedeckt, die aus China stammt und kritische Infrastrukturen und Regierungseinrichtungen auf mehreren Kontinenten ins Visier nimmt. ### SHADOW-EARTH-053: Spionage über Kontinente hinweg **Trend Micro** hat den Bedrohungsaktivitätscluster als **SHADOW-EARTH-053** identifiziert und seine Aktivitäten seit mindestens Dezember 2024 festgestellt. Die Gruppe weist Netzwerküberschneidungen mit anderen bekannten Bedrohungsakteuren auf, darunter CL-STA-0049, Earth Alux und REF7707. Laut den Forschern Daniel Lunghi und Lucas Silva nutzt die Gruppe N-Day-Schwachstellen in extern zugänglichen **Microsoft Exchange**- und Internet Information Services (**IIS**)-Servern aus, wobei Schwachstellen wie **ProxyLogon** ausgenutzt werden. Anschließend setzen sie Web-Shells wie **Godzilla** für persistenten Zugriff ein und stellen **ShadowPad**-Implants über DLL-Sideloading von legitimen, signierten ausführbaren Dateien bereit. Zu den Zielen gehören Pakistan, Thailand, Malaysia, Indien, Myanmar, Sri Lanka und Taiwan, wobei Polen die einzige identifizierte europäische Nation ist. ### Angriffs-Kette und Taktiken Der anfängliche Einbruch beinhaltet die Ausnutzung bekannter Sicherheitslücken, um ungepatchte Systeme zu kompromittieren, gefolgt von der Bereitstellung von Web-Shells wie Godzilla für persistenten Fernzugriff. Diese Web-Shells dienen als Sprungbrett für Befehlsausführung, Aufklärung und die endgültige Bereitstellung des ShadowPad-Backdoors über **AnyDesk**. Die Malware wird mittels DLL-Sideloading-Techniken gestartet. In einem Fall wurde angeblich die **React2Shell**-Schwachstelle (**CVE-2025-55182**) verwendet, um eine Linux-Version von **Noodle RAT** (auch bekannt als ANGRYREBEL und Nood RAT) zu verteilen. Die **Google Threat Intelligence Group (GTIG)** hat diese spezifische Angriffs-Kette mit einer Gruppe namens UNC6595 in Verbindung gebracht.  Open-Source-Tunneling-Tools wie IOX, GO Simple Tunnel (GOST) und Wstunnel werden ebenfalls eingesetzt, zusammen mit **RingQ** zum Packen bösartiger Binärdateien und zur Umgehung von Erkennung. Zur Rechteerweiterung nutzt **SHADOW-EARTH-053** **Mimikatz**, während die laterale Bewegung durch einen benutzerdefinierten Remote-Desktop-Protokoll (RDP)-Launcher und eine C#-Implementierung von SMBExec namens [Sharp-SMBExec](https://github.com/checkymander/Sharp-SMBExec/) erleichtert wird. ### Abhilfestrategien "Der primäre Eintrittsvektor, der in dieser Kampagne verwendet wurde, waren Schwachstellen in extern zugänglichen IIS-Anwendungen", erklärte Trend Micro. Sie empfehlen, die Anwendung der neuesten Sicherheitsupdates und kumulativen Patches für Microsoft Exchange und alle auf IIS gehosteten Webanwendungen zu priorisieren. In Fällen, in denen eine sofortige Patchung nicht möglich ist, wird dringend die Bereitstellung von Intrusion Prevention Systems (IPS) oder Web Application Firewalls (WAF) mit Regelsätzen empfohlen, die speziell darauf ausgelegt sind, Exploit-Versuche gegen bekannte CVEs zu blockieren (Virtual Patching). ### GLITTER CARP und SEQUIN CARP zielen auf Aktivisten und Journalisten **Citizen Lab** hat außerdem eine neue Phishing-Kampagne von zwei unterschiedlichen, China-affiliierten Bedrohungsakteuren gemeldet, die Journalisten und die Zivilgesellschaft, darunter uigurische, tibetische, taiwanische und Hongkonger Diaspora-Aktivisten, ins Visier nehmen. Diese Kampagnen wurden im April und Juni 2025 entdeckt. Die Cluster heißen **GLITTER CARP**, die das International Consortium of Investigative Journalists (**ICIJ**) ins Visier genommen hat, und **SEQUIN CARP**, deren Hauptziel die ICIJ-Journalistin Scilla Alecci und andere internationale Journalisten waren, die über Themen von kritischem Interesse für die chinesische Regierung schrieben.  Citizen Lab stellt fest, dass die Akteure ausgeklügelte digitale Identitätsdiebstahl-Schemata in Phishing-E-Mails einsetzen, einschließlich der Nachahmung bekannter Personen und Sicherheitswarnungen von Technologieunternehmen. Trotz unterschiedlicher Zielgruppen nutzt die Aktivität konsistente Infrastruktur und Taktiken, wobei dieselben Domains und nachgeahmten Personen häufig über mehrere Ziele hinweg wiederverwendet werden. **GLITTER CARP** wurde neben breit angelegten Phishing-Angriffen auch mit Phishing-Kampagnen in Verbindung gebracht, die auf die taiwanische Halbleiterindustrie abzielen. **SEQUIN CARP** weist Ähnlichkeiten mit einer von **Volexity** als UTA0388 verfolgten Gruppe und einem von Trend Micro als TAOTH beschriebenen Einbruchs-Set auf. Die Kampagnen zielen darauf ab, durch das Sammeln von Anmeldeinformationen, Phishing-Seiten oder Social Engineering den ersten Zugriff auf E-Mail-Konten zu erlangen, um die Ziele dazu zu verleiten, einem Drittanbieter-OAuth-Token Zugriff zu gewähren. Die Phishing-E-Mails von GLITTER CARP verwenden auch 1x1-Tracking-Pixel, um Geräteinformationen zu sammeln und zu bestätigen, ob E-Mails geöffnet wurden. Citizen Lab beobachtete die gleichzeitige Zielerfassung spezifischer Organisationen unter Verwendung sowohl des AiTM-Phishing-Kits (GLITTER CARP, UNK_SparkyCarp) als auch der Bereitstellung von HealthKick, was auf eine mögliche Überschneidung zwischen diesen Gruppen hindeutet, obwohl die genaue Beziehung unklar bleibt. Die Forschungseinheit kommt zu dem Schluss, dass die digitale transnationale Unterdrückung zunehmend über ein verteiltes Netzwerk von Akteuren operiert und die Ziele mit den nachrichtendienstlichen Prioritäten der chinesischen Regierung übereinstimmen, was auf die Beteiligung kommerzieller Unternehmen hindeutet, die vom chinesischen Staat beauftragt wurden.