crimson palace
Threat Research

Crimson Palace geht mit neuen Tools, Taktiken und Zielen in die Offensive

Sophos hat seinen neuen Report „Crimson Palace: New Tools, Tactics, Targets“ veröffentlicht. Der Report beschreibt die jüngsten Entwicklungen in einer fast zwei Jahre dauernden, chinesischen Cyberspionage-Kampagne in Südostasien. Die Sophos-Experten berichteten erstmals im Juni mit dem Report Operation Crimson Palace über ihre Entdeckungen und beschrieben detailliert ihre Funde zu mutmaßlich chinesischen Staatsaktivitäten innerhalb einer hochrangigen Regierungsorganisation, die von drei separaten Gruppierungen durchgeführt wurden – Cluster Alpha, Cluster Bravo und Cluster Charlie. Nach einer kurzen Pause im August 2023 registrierte Sophos X-Ops erneute Cluster-Bravo- und Cluster-Charlie-Aktivitäten, beide innerhalb der ursprünglichen Zielorganisation und in mehreren anderen Organisationen innerhalb der Region.

Angreifer nutzen Open Source Tools
Während der neuen Untersuchungen enthüllten die Experten einen neuartigen Keylogger, den die Threat Hunter als „Tattletale“ bezeichneten, also quasi eine „Quasselstrippe“, die sich als Nutzer ausgeben kann und im System einloggt, um Informationen zu sammeln, die mit Passwort-Regeln, Sicherheitseinstellungen, gecachten Passwörtern, Browserinformationen und Sicherungsdateien in Verbindung stehen. Die Analysten beobachten in ihrem Report auch, dass Cluster Charlie im Vergleich zur ersten Welle der Operation vermehrt Open Source Tools nutzt, statt die Typen angepasster Schadsoftware einzusetzen, die sie für ihre anfängliche Aktivitätswelle entwickelt haben.

Paul Jaramillo, Director Threat Hunting and Threat Intelligence bei Sophos, ordnet die Ergebnisse folgendermaßen ein: „Wir befinden uns in einem laufenden Schachspiel mit diesen Gegnern. Während der ersten Phase der Operation setzte Cluster Charlie verschiedene maßgeschneiderte Werkzeuge und Schadsoftware ein. Allerdings waren wir in der Lage, einen Großteil ihrer früheren Infrastruktur zu zerstören, ihre Command and Control Tools zu blocken und sie zum Umschwenken zu zwingen. Ihr Wechsel hin zu Open-Source-Werkzeugen demonstriert, wie schnell diese Angreifergruppen sich anpassen und wie hartnäckig sie sind.“

Alle Cluster teilen ihre Tools mit chinesischen Bedrohungsgruppen
Cluster Charlie, dessen Taktiken, Techniken und Verfahren (TTPs) mit denen der chinesischen Bedrohungsgruppe Earth Longzhi übereinstimmen, war ursprünglich von März bis August 2023 aktiv. Das Cluster ruhte für ein paar Wochen, tauchte im September 2023 wieder auf und war seitdem bis mindestens Mai 2024 aktiv. Während dieser zweiten Kampagnenstufe konzentrierte sich Cluster Charlie darauf, tiefer in das angegriffene Netzwerk einzudringen, Endpoint Detection and Response (EDR)-Funktionalitäten auszuweichen und weitere Informationen zu sammeln. Zusätzlich zum Wechsel zu Open-Source-Werkzeugen fing Cluster Charlie an, Taktiken zu verwenden, die anfänglich von Cluster Alpha und Cluster Bravo eingesetzt wurden. Dies deutet darauf hin, dass die gleiche übergreifende Organisation alle drei Aktivitäts-Cluster steuert. Sophos X-Ops hat die laufenden Cluster Charlie-Aktivitäten zudem bei mehreren anderen Organisationen in Südostasien verfolgt.

Operation Crimson Palace expandiert in Südostasien
Cluster Bravo, dessen TTPs mit denen der chinesischen Bedrohungsgruppe Unfading Sea Haze übereinstimmen, war ursprünglich nur im anvisierten Netzwerk für eine dreiwöchige Spanne im März 2023 aktiv. Allerdings tauchte das Cluster im Januar 2024 wieder auf – nur dieses Mal zielte es auf mindestens elf andere Organisationen und Agenturen in derselben Region ab.

„Wir beobachten nicht nur, wie alle drei Crimson-Palace-Cluster ihre Taktiken verfeinern und koordinieren, sondern sie ihre Operationen außerdem mit der Absicht ausweiten, andere Ziele in Südostasien zu infiltrieren. Die Tatsache, dass nationalstaatliche Gruppierungen aus China ihre Infrastruktur und Werkzeuge teilen und sowohl Cluster Bravo als auch Cluster Charlie sich über das ursprüngliche Ziel hinaus bewegen, macht es sehr wahrscheinlich, dass sich die Kampagne weiterentwickelt“, so Jaramillo.