Eine hochriskante Sicherheitslücke in der **TrueConf** Client-Videokonferenzsoftware wurde als Zero-Day im Rahmen einer Kampagne gegen Regierungsstellen in Südostasien, bekannt als **TrueChaos**, ausgenutzt. ### CVE-2026-3502: Beliebige Codeausführung durch bösartige Updates Die betreffende Schwachstelle ist **CVE-2026-3502** (CVSS-Score: 7.8) und beruht auf einer fehlenden Integritätsprüfung beim Abrufen von Anwendungsupdate-Code. Dies ermöglicht es einem Angreifer, ein manipuliertes Update zu verteilen, was zur Ausführung von beliebigem Code führt. Die Schwachstelle wurde im **TrueConf** Windows-Client ab Version 8.5.3, die Anfang dieses Monats veröffentlicht wurde, behoben. "Die Schwachstelle ergibt sich aus dem Missbrauch des Validierungsmechanismus des **TrueConf**-Updaters, der es einem Angreifer, der den lokalen **TrueConf**-Server kontrolliert, ermöglicht, beliebige Dateien auf allen verbundenen Endpunkten zu verteilen und auszuführen", teilte **Check Point** in einem heute veröffentlichten Bericht mit. Anders ausgedrückt: Ein Angreifer, der es schafft, die Kontrolle über den lokalen **TrueConf**-Server zu erlangen, kann das Update-Paket durch eine vergiftete Version ersetzen. Dieses bösartige Update wird dann von der Client-Anwendung, die auf den Endpunkten der Kunden installiert ist, heruntergeladen, da keine ausreichende Validierung durchgeführt wird, um sicherzustellen, dass das vom Server bereitgestellte Update nicht manipuliert wurde. ### TrueChaos-Kampagne und das Havoc Framework Die **TrueChaos**-Kampagne hat diese Schwachstelle im Update-Mechanismus genutzt, um wahrscheinlich das Open-Source **Havoc** Command-and-Control (C2) Framework auf anfällige Endpunkte zu deployen. Die Aktivität wurde mit moderater Zuversicht einem chinesischen Akteur zugeschrieben. Angriffe, die die Schwachstelle ausnutzen, wurden erstmals Anfang 2026 von dem Cybersicherheitsunternehmen aufgezeichnet. Das implizite Vertrauen, das der Client in den Update-Mechanismus setzt, wurde genutzt, um einen bösartigen Installer zu verteilen, der wiederum mittels DLL-Side-Loading eine DLL-Backdoor startet.  Die DLL-Implantat ("7z-x64.dll") wurde auch dabei beobachtet, Hands-on-Keyboard-Aktionen durchzuführen, um Aufklärungsarbeit zu leisten, Persistenz einzurichten und zusätzliche Payloads ("iscsiexe.dll") von einem FTP-Server ("47.237.15[.]197") abzurufen. Das Hauptziel von "iscsiexe.dll" ist es, die Ausführung eines harmlosen Binärprogramms ("poweriso.exe") sicherzustellen, das zum Sideloading der Backdoor abgelegt wird. Obwohl die genaue Malware der letzten Stufe, die im Rahmen des Angriffs geliefert wird, nicht klar ist, wird mit hoher Zuversicht eingeschätzt, dass das Endziel die Bereitstellung des **Havoc**-Implantats ist. ### Chinesische Verbindungen und Verbindungen zu ShadowPad Die Verbindungen von **TrueChaos** zu einem chinesischen Akteur basieren auf den beobachteten Taktiken, wie der Verwendung von DLL-Side-Loading, **Alibaba Cloud** und **Tencent** für C2-Infrastruktur, und der Tatsache, dass dasselbe Opfer im gleichen Zeitraum von **ShadowPad**, einer hochentwickelten Backdoor, die von chinesischen Hacker-Gruppen häufig verwendet wird, ins Visier genommen wurde. Darüber hinaus wurde die Verwendung von **Havoc** einem anderen chinesischen Akteur namens Amaranth-Dragon bei Angriffen auf Regierungs- und Strafverfolgungsbehörden in Südostasien im Jahr 2025 zugeschrieben.  "Die Ausnutzung von **CVE-2026-3502** erforderte nicht, dass der Angreifer jeden Endpunkt einzeln kompromittierte", sagte **Check Point**. "Stattdessen missbrauchte der Angreifer die vertrauensvolle Beziehung zwischen einem zentralen lokalen **TrueConf**-Server und seinen Clients. Indem er ein legitimes Update durch ein bösartiges ersetzte, verwandelte er den normalen Update-Flow des Produkts in einen Malware-Verteilungskanal über mehrere verbundene Regierungsnetzwerke."