Ein Akteur mit mutmaßlichen Verbindungen zu China wurde zwischen Ende Dezember 2025 und Ende Februar 2026 in eine "mehrwellige Intrusion" gegen ein aserbaidschanisches Öl- und Gaskonsortium verwickelt. Diese Kampagne markiert eine bemerkenswerte Ausweitung des Zielspektrums der Gruppe. **FamousSparrow** (auch bekannt als UAT-9244) wurde von **Bitdefender** mit moderater bis hoher Zuverlässigkeit zugeschrieben. Die Gruppe weist taktische Überschneidungen mit Clustern auf, die als Earth Estries und Salt Typhoon verfolgt werden. Die Angriffe beinhalteten die Bereitstellung von zwei unterschiedlichen Backdoors über drei separate Wellen: **Deed RAT** (auch bekannt als Snappybee), ein Nachfolger von ShadowPad, das von mehreren chinesischen Spionagegruppen verwendet wird, und **TernDoor**, das seit 2024 kürzlich bei Angriffen auf Telekommunikationsinfrastrukturen in Südamerika entdeckt wurde. ### Anhaltende Ausnutzung einer Microsoft Exchange-Schwachstelle Bemerkenswerterweise nutzte die Kampagne wiederholt denselben anfälligen **Microsoft** Exchange Server-Einstiegspunkt aus, trotz Bemühungen zur Behebung. Die Angreifer tauschten die Backdoors jedes Mal aus: Deed RAT am 25. Dezember 2025, TernDoor Ende Januar/Anfang Februar 2026 und eine modifizierte Deed RAT-Version Ende Februar 2026. Es wird angenommen, dass die Angreifer die ProxyNotShell-Kette ausnutzten, um den anfänglichen Zugriff zu erlangen. "Diese Zielsetzung erweitert die bekannte Victimologie von FamousSparrow in eine Region, in der Aserbaidschans Rolle für die europäische Energiesicherheit nach dem Auslaufen des russisch-ukrainischen Gastransitabkommens im Jahr 2024 und den Störungen in der Straße von Hormus im Jahr 2026 materiell zugenommen hat", erklärte **Bitdefender** in seinem Bericht. "Die Intrusion zeigt, dass Akteure denselben Zugriffspfad ausnutzen und wiederholt ausnutzen werden, bis die ursprüngliche Schwachstelle gepatcht ist, kompromittierte Anmeldeinformationen rotiert werden und die Fähigkeit des Angreifers, zurückzukehren, vollständig unterbunden ist."  ### Fortschrittliche DLL Side-Loading-Techniken Nach dem anfänglichen Zugriff folgten Versuche, Web-Shells für persistenten Zugriff bereitzustellen und schließlich Deed RAT mithilfe einer weiterentwickelten DLL Side-Loading-Technik einzuschleusen. Diese Technik nutzt die legitime LogMeIn Hamachi-Binärdatei, um eine bösartige DLL zu laden und zu starten, die für die Ausführung des Haupt-Payloads verantwortlich ist. "Im Gegensatz zum Standard-DLL-Side-Loading, das auf einfachem Dateiaustausch beruht, überschreibt diese Methode zwei spezifische exportierte Funktionen innerhalb der bösartigen Bibliothek", erklärte **Bitdefender**. "Dies schafft einen zweistufigen Auslöser, der die Ausführung des Deed RAT-Loaders durch den natürlichen Kontrollfluss der Host-Anwendung steuert und so die Fähigkeiten zur Umgehung von Abwehrmaßnahmen des traditionellen DLL-Side-Loadings weiterentwickelt." Die Angriffe beinhalteten auch laterale Bewegungen, um den Zugriff innerhalb des kompromittierten Netzwerks zu erweitern und redundante Standbeine zu etablieren. In der zweiten Welle, fast einen Monat nach der anfänglichen Intrusion, versuchte der Angreifer, TernDoor über Mofu Loader einzuschleusen, einen Shellcode-Loader, der zuvor GroundPeony zugeschrieben wurde, unter Verwendung von DLL Side-Loading. Das aserbaidschanische Unternehmen wurde Ende Februar 2026 ein drittes Mal ins Visier genommen, wobei die Bedrohungsakteure versuchten, eine modifizierte Version von Deed RAT einzuschleusen, was auf Bemühungen zur Verfeinerung ihres Malware-Arsenals hindeutet. Dieses Artefakt verwendet "sentinelonepro [.]com" für Command-and-Control (C2). ### Anhaltender und adaptiver Betrieb "Diese Intrusion sollte nicht als isolierter Kompromiss betrachtet werden, sondern als ein anhaltender und adaptiver Betrieb, der von einem Akteur durchgeführt wurde, der wiederholt versuchte, den Zugriff innerhalb der Opferumgebung wiederzuerlangen und zu erweitern", schloss **Bitdefender**. "Über mehrere Aktivitätswellen hinweg wurde derselbe Zugriffspfad wiederholt genutzt, neue Payloads eingeführt und zusätzliche Standbeine etabliert, was ein hohes Maß an Persistenz und operativer Disziplin unterstreicht."