Falle im globalen Maßstab: Hacker verwandeln über 5.000 Router in digitales Spionagenetz : Router als Spione: Neue Hackergruppe überwacht Angriffe und sammelt Exploits in 84 Ländern
Die Hackergruppe ViciousTrap hat weltweit über 5.300 Router gekapert und in ein verteiltes Honeypot-Netz verwandelt. Statt Schaden anzurichten, nutzt sie die Geräte zur stillen Überwachung: Angriffsversuche und Zero-Day-Schwachstellen werden registriert und gesammelt – wie bei einer digitalen Abhöranlage.
Im Zentrum der Kampagne steht eine kritische Sicherheitslücke (CVE-2023-20118) in Routern von Cisco Small Business. Betroffen sind Modelle wie RV016, RV042 und RV325. Über diese Lücke schleusen die Angreifer ein Shell-Skript namens NetGhost ein, das gezielt den Netzwerkverkehr umleitet – nicht zum eigentlichen Ziel, sondern zu einer Infrastruktur, die von ViciousTrap kontrolliert wird.
Der Trick: Statt Schaden anzurichten, fängt NetGhost Daten in Transit ab – etwa Zugangsdaten, Exploit-Versuche oder Web-Shell-Kommandos anderer Angreifer. Damit wird der kompromittierte Router zur digitalen Wanze im Internetverkehr.
Tarnung als Beobachter: Honeypots mit globaler Reichweite
Sekoia spricht von einem „Honeypot-ähnlichen“ Netzwerk, das sich über 84 Länder erstreckt. Die meisten infizierten Geräte befinden sich in Macau, doch auch Geräte in den Vereinigten Staaten und Taiwan leiten inzwischen Daten um.
Insgesamt wurden Router, VPN-Gateways und andere internetnahe Systeme von über 50 Marken kompromittiert – darunter ASUS, D-Link, QNAP und Araknis. Ziel ist offenbar, in möglichst vielen IT-Umgebungen unbemerkt mitzulesen, Angriffe zu analysieren und gegebenenfalls unentdeckte Schwachstellen zu bunkern.
Zwei-Stufen-Angriff mit Tarnmechanismen
Die Infektionskette ist technisch ausgefeilt: Zunächst wird über die Cisco-Lücke ein Shell-Skript via ftpget nachgeladen, das wiederum den wget-Befehl zur weiteren Kompromittierung nutzt. Anschließend wird ein zweites Skript ausgeführt, intern als NetGhost bezeichnet, das die eigentliche Weiterleitung des Netzwerkverkehrs an eine vom Angreifer kontrollierte Infrastruktur übernimmt und so Adversary-in-the-Middle-Angriffe (AitM) ermöglicht. Zudem kann sich NetGhost selbst vom betroffenen System löschen, um forensische Spuren zu verwischen.
Sämtliche bis vor kurzem beobachteten Angriffe stammen laut Sekoia aus einer einzigen IP-Adresse in Malaysia („101.99.91[.]151“). Seit Mai wird bei Angriffsversuchen gegen ASUS-Router auch eine andere IP-Adresse („101.99.91[.]239“) verwendet. Auf den von dort infizierten Geräten wurde jedoch kein Honeypot eingerichtet. Alle im Rahmen der Kampagne genutzten IP-Adressen gehören zu einem Autonomous System (AS45839), das vom malaysischen Hosting-Anbieter Shinjiru betrieben wird.
Chinesischsprachiger Hintergrund vermutet
Obwohl die Herkunft der Angreifer nicht zweifelsfrei geklärt ist, deutet vieles auf eine chinesischsprachige Urheberschaft hin: So bestehen technische Überschneidungen zur GobRAT-Infrastruktur, und viele der umgeleiteten Verbindungen betreffen Ziele in Taiwan und den USA.
Die Analysten betonen, dass ViciousTrap nicht mit der Botnet-Kampagne PolarEdge identisch ist, obwohl beide Gruppen offenbar dieselbe Cisco-Schwachstelle ausnutzen und ähnliche Tools verwenden. In einem Fall nutzte ViciousTrap sogar eine bislang nicht dokumentierte Web-Shell aus dem Arsenal von PolarEdge – möglicherweise ein Hinweis auf eine stille Übernahme oder ein gezieltes Abgreifen fremder Infrastruktur.
Ziel unklar – Gefahr real
Was ViciousTrap mit dem gesammelten Datenmaterial konkret plant, ist bislang unklar. Doch der Aufbau eines weltweiten Honeypot-Netzes spricht für strategische Interessen: Die Gruppe kann so gezielt Zero-Day-Exploits erkennen, von anderen Angreifern lernen – und sich möglicherweise langfristig exklusive Angriffswege sichern, bevor Sicherheitsbehörden reagieren können.
Mit ViciousTrap tritt ein neuer Akteur in Erscheinung, der nicht auf kurzfristige Erpressung oder Datenklau setzt, sondern auf langfristige strategische Spionage. Die Kampagne zeigt, wie verwundbar selbst kleine Netzwerkgeräte sind – und wie raffiniert moderne Angreifer ihre Infrastruktur aufbauen, um aus dem Schatten heraus den globalen Datenstrom zu beobachten.