FamousSparrow zielt auf veraltete Systeme – und trifft

Die chinesische APT-Gruppe FamousSparrow war jahrelang von der Bildfläche verschwunden. Nun ist sie zurück – und das mit Wucht. Laut neuen Erkenntnissen von ESET haben die Angreifer hoch entwickelte Backdoors gegen hochkarätige Ziele eingesetzt, darunter ein US-Finanzhandelsunternehmen, ein mexikanisches Forschungsinstitut und eine zentrale Regierungsbehörde in Honduras. So unterschiedlich die Opfer auch sind – eines hatten sie gemeinsam: veraltete Systeme.

Im Zentrum der Angriffe standen Webserver mit bekannten Sicherheitslücken. Die Hacker nutzten eine sogenannte Web Shell, um sich Zugang zu verschaffen. Wie genau sie eindringen konnten, ist unklar. Doch laut ESET liefen bei den kompromittierten Organisationen veraltete Versionen von Microsoft Exchange und Windows Server – beides Systeme, die in den letzten Jahren immer wieder durch kritische Sicherheitslücken aufgefallen sind.

Neue Tools, alter Fehler

FamousSparrow setzte diesmal zwei neue Varianten ihrer bekannten Backdoor SparrowDoor ein. Diese zeigen laut ESET signifikante technische Weiterentwicklungen: modulare Architektur, parallele Befehlsverarbeitung, höhere Effizienz beim Fernzugriff. Erstmals kam außerdem die fortschrittliche Spionage-Backdoor ShadowPad zum Einsatz – ein Tool, das typischerweise nur mit staatlicher Unterstützung chinesischer Herkunft verteilt wird.

„Obwohl diese neuen Versionen erhebliche Verbesserungen aufweisen, können sie immer noch direkt zu früheren, öffentlich dokumentierten Versionen zurückverfolgt werden. Die bei diesen Angriffen verwendeten Loader weisen zudem erhebliche Code-Überschneidungen auf, die die Handschrift von FamousSparrow tragen“, erklärt Alexandre Côté Cyr, der ESET-Sicherheitsforscher hinter den Analysen.

Mit anderen Worten: Die Gruppe entwickelt sich weiter, bleibt aber erkennbar. Das macht sie berechenbarer – aber nicht weniger gefährlich.

Altlasten im Blick behalten

Die Angriffe zeigen einmal mehr, wie riskant es ist, Legacy-Systeme stiefmütterlich zu behandeln. Viele Organisationen betreiben noch Exchange- oder Windows-Instanzen, die nicht oder nur unregelmäßig gepatcht werden. Nicht aus Ignoranz – sondern oft, weil Prozesse, Anwendungen oder personelle Ressourcen ein vollständiges Update verhindern.

Doch APT-Gruppen wie FamousSparrow warten nicht. Sie beobachten. Scannen. Und schlagen gezielt dort zu, wo Schutzmaßnahmen fehlen – mit Werkzeugen, die über Jahre hinweg entwickelt wurden.

Was CISOs tun können

Für Sicherheitsverantwortliche ergibt sich daraus eine klare Handlungsaufforderung:

• Legacy-Systeme identifizieren und systematisch in ein Lifecycle-Management überführen.
• Risikoanalysen nicht nur auf aktuelle Schwachstellen beschränken – sondern bewusst Altlasten einbeziehen.
• Sichtbarkeit erhöhen durch Endpoint Detection & Response (EDR) oder Managed Detection & Response (MDR).
• Bedrohungsakteure verstehen – Threat Intelligence sollte Teil jeder Sicherheitsstrategie sein.

Denn Gruppen wie FamousSparrow sind kein Einzelfall. Und sie zeigen, dass selbst Jahre der Stille kein Grund zur Entwarnung sind.