Cyberangriff auf Drohnen: Earth Ammit zielt auf Schlüsselindustrien : Gezielte Angriffe auf Softwaredienstleister und ERP-Systeme ermöglichen Zugriff auf militärische, medizinische und satellitengestützte Infrastrukturen.
Mit den Cyberkampagnen VENOM und TIDRONE hat die mutmaßlich staatlich gesteuerte Spionagegruppe Earth Ammit gezielt die Drohnenindustrie in Taiwan und Südkorea attackiert. Über Angriffe auf Softwaredienstleister und Enterprise-Resource-Planning-Systeme verschaffte sich die Gruppe Zugang zu hochsensiblen Bereichen wie Militär, Satellitentechnik und Gesundheitswesen.
Zwischen 2023 und 2024 konnte die Cyberspionagegruppe Earth Ammit mit zwei technisch anspruchsvollen Kampagnen gleich mehrere kritische Branchen in Taiwan und Südkorea kompromittieren. Im Mittelpunkt standen Unternehmen aus dem Militär- und Satellitensektor, der Software- und Technologiebranche sowie aus der Medien- und Gesundheitsindustrie.
Wie die Sicherheitsanalysten Pierre Lee, Vickie Su und Philip Chen von Trend Micro berichten, verfolgte Earth Ammit dabei eine strategisch durchdachte Angriffsserie entlang der digitalen Lieferketten: „Im Rahmen der VENOM-Kampagne konzentrierte sich Earth Ammit darauf, in die vorgelagerten Bereiche der Drohnen-Lieferkette vorzudringen. Ziel der Gruppe ist es, über Angriffe auf vertrauenswürdige Zuliefernetzwerke strategische Zugangspunkte zu schaffen – um anschließend besonders wertvolle Ziele entlang der Lieferkette ins Visier zu nehmen und so ihre Wirkung deutlich zu verstärken“.
Die erste Angriffswelle, bekannt unter dem Codenamen VENOM, zielte auf Dienstleister im Softwarebereich. Über Schwachstellen in Webservern drangen die Angreifer ein, installierten Webshells und setzten Open-Source-Werkzeuge wie REVSOCK und Sliver ein, um ihre Herkunft zu verschleiern. Besonders auffällig war der Einsatz des Tools VENFRPC, einer eigens angepassten Version von FRPC, das selbst wiederum eine modifizierte Version des Reverse-Proxys FRP ist. Dabei ging es darum, über initiale Zugänge Anmeldeinformationen zu stehlen und sich in vertrauenswürdigen Netzwerken festzusetzen.
Diese kompromittierten Systeme dienten anschließend als Sprungbrett für die zweite Kampagne: TIDRONE. Hier stand die Drohnenindustrie im Fokus, insbesondere Hersteller aus Taiwan sowie deren Partner in Südkorea. Die Angreifer nutzten manipulierte Enterprise-Resource-Planning-Systeme, um sich lateral durch Netzwerke zu bewegen und ihre Malware gezielt in militärische Infrastrukturen einzuschleusen.
TIDRONE verlief in drei taktisch abgestimmten Phasen:
- Initialer Zugriff: Wie bereits in VENOM über kompromittierte Dienstleister, über die bösartiger Code in die Systeme nachgelagerter Kunden eingeschleust wurde.
- Command-and-Control: In dieser Phase kamen zwei speziell entwickelte Hintertüren namens CXCLNT und CLNTEND zum Einsatz, die über dynamisch nachladbare Module zusätzliche Funktionen erhielten.
- Post-Exploitation: Die Angreifer etablierten dauerhaften Zugriff, umgingen Schutzmechanismen mit Tools wie TrueSightKiller und nutzten SCREENCAP, um systematisch Bildschirmaufnahmen zu erfassen.
Während CXCLNT bereits seit dem Jahr 2022 im Einsatz ist, wurde CLNTEND im Jahr 2024 erstmals entdeckt – mit deutlich erweiterten Funktionen zur Umgehung von Erkennungssystemen. Beide Programme zeichnen sich durch eine modulare Architektur aus, die ihre Analyse erheblich erschwert und gleichzeitig einen flexiblen Einsatz ermöglicht.
Besonders brisant ist die Tatsache, dass Earth Ammit für die Verbreitung seiner Schadsoftware auch legitime IT-Management-Tools und Fernwartungslösungen missbrauchte – ein deutlicher Hinweis auf die hohe technische Raffinesse der Angreifer. Die Ähnlichkeiten in Infrastruktur und Taktik zwischen VENOM und TIDRONE lassen laut Trend Micro den Schluss zu, dass ein und dieselbe Gruppe hinter beiden Kampagnen steckt.
Zudem deuten viele Indizien auf eine Verbindung zur chinesischen Hackergruppierung Dalbit, auch bekannt unter dem Namen m00nlight, hin. Beide Gruppierungen nutzen ein vergleichbares Repertoire an Werkzeugen und Angriffstechniken – von Low-Cost-Tools in der Anfangsphase bis hin zu maßgeschneiderter Schadsoftware für präzise, hochwirksame Angriffe.
Die Methodik von Earth Ammit folgt einem klaren Muster: Zunächst wird mit minimalem Aufwand der Zugang zu vorgelagerten Systemen geschaffen, anschließend erfolgt eine gezielte Eskalation in sicherheitskritische Bereiche. Diese Entwicklung macht deutlich, wie wichtig es für Unternehmen und staatliche Stellen ist, die gesamte Lieferkette – inklusive externer Dienstleister – in ihre Sicherheitsstrategie einzubeziehen.
Japan und Taiwan von Swan Vector angegriffen
Paralell zu den Ereignissen um Earth Ammit haben Sicherheitsexperten von Seqrite Labs Details zu einer neuen Cyberspionagekampagne veröffentlicht, die unter dem Namen Swan Vector geführt wird. Seit Dezember 2024 nimmt eine bisher nicht eindeutig zugeordnete Bedrohungsgruppe gezielt Bildungseinrichtungen und Maschinenbauunternehmen in Taiwan und Japan ins Visier. Im Fokus stehen dabei Organisationen mit aktivem Personalbedarf – ein Umstand, den die Angreifer mit gefälschten Bewerbungen und gut getarnten E-Mail-Anhängen ausnutzen.
Die präparierten Anhänge der „Bewerbungen“ enthalten ein manipuliertes DLL-Implantat mit dem Namen Pterois, das beim Öffnen der Datei unbemerkt auf dem Zielsystem installiert wird. Dieses Implantat dient dazu, in einem zweiten Schritt die Cobalt Strike Shellcode-Komponente nachzuladen – ein bei APT-Gruppen weitverbreitetes Framework zur Fernsteuerung und Post-Exploitation.
Eine besonders raffinierte Technik innerhalb der Kampagne ist die Verwendung von Google Drive als Zwischenstation für Schadsoftware. Über diesen Cloud-Dienst wird eine weitere Malware namens Isurus nachgeladen. Sie fungiert als Trägermedium, das letztlich die Ausführung der Cobalt Strike-Komponenten ermöglicht. Durch diesen gestaffelten Aufbau erschweren die Angreifer nicht nur die Analyse, sondern erhöhen auch die Erfolgswahrscheinlichkeit ihrer Angriffe.
Laut Sicherheitsexperte Subhajeet Singha operiert die Angreifergruppe aus Ostasien und geht mit einem hohen Maß an technischer Raffinesse vor. Der Aufbau der Angriffskette basiert auf individuell entwickelten Komponenten – darunter spezialisierte Downloader, Shellcode-Loader und Mechanismen zur Täuschung und Umgehung von Sicherheitslösungen. Typische Tarnmethoden der Kampagne umfassen:
- API Hashing zur Verschleierung von Funktionsaufrufen
- Direct Syscalls für direkten Zugriff auf Betriebssystemfunktionen
- Callback-Techniken zur Ausführung im Kontext legitimer Prozesse
- DLL Side-Loading zur Nutzung vertrauenswürdiger Anwendungen
- Selbstlöschung der Malware, um Spuren zu verwischen
Diese Kombination aus gezieltem Social Engineering, technisch ausgeklügeltem Malware-Design und effektiver Tarnung macht Swan Vector zu einer ernstzunehmenden Bedrohung – insbesondere für Organisationen, die in Forschung, Entwicklung oder internationaler Zusammenarbeit tätig sind.