Computer und Informationstechnologie, ComputerkriminalitÀt

Chinesische Hackergruppe missbraucht Windows-Gruppenrichtlinien fĂŒr Angriffe

18.12.2025 - 14:15:00

Jena - Sicherheitsforscher des europĂ€ischen IT-Sicherheitsherstellers ESET haben eine bislang unbekannte, mutmaßlich mit China in Verbindung stehende Hackergruppe identifiziert. Mit ihren Angriffen nehmen die Hacker gezielt Regierungsnetze ins Visier. Die Gruppe mit dem Namen LongNosedGoblin missbraucht dabei ausgerechnet ein zentrales Verwaltungswerkzeug von Windows-Systemen: Gruppenrichtlinien (Group Policies), die ĂŒblicherweise in Active-Directory-Umgebungen eingesetzt werden. Auf diese Weise kann sich die Schadsoftware unauffĂ€llig im Netzwerk ausbreiten – mit weitreichenden Folgen fĂŒr betroffene Behörden.

"Der Missbrauch von Gruppenrichtlinien zur flÀchendeckenden Malware-Verteilung ist technisch anspruchsvoll und deutet auf eine hohe Expertise der Hacker hin", sagt ESET-Forscher Anton Cherepanov. "In Kombination mit Cloud-basiertem Command & Control erschwert dies die Erkennung erheblich."

Cyber-Spionage gegen Behörden in Asien

Nach Erkenntnissen von ESET liegt das Hauptaugenmerk von LongNosedGoblin in der Cyberspionage. Ziel sind Regierungsinstitutionen in SĂŒdostasien und Japan. Erste Spuren der AktivitĂ€ten reichen mindestens bis September 2023 zurĂŒck. Im Jahr 2024 stießen die Forscher erstmals auf bislang unbekannte Schadprogramme im Netzwerk einer sĂŒdostasiatischen Regierungsbehörde. Seit September dieses Jahres registrieren die Sicherheitsforscher erneut verstĂ€rkte AktivitĂ€ten der Gruppe in der Region.

Bemerkenswert ist die Vorgehensweise der Angreifer: Die Schadsoftware wird nicht nur ĂŒber kompromittierte interne Netzwerke verteilt, sondern nutzt auch legitime Cloud-Dienste wie Microsoft OneDrive, Google Drive – und in einem weiteren Fall sogar Yandex Disk – als Kommandozentrum fĂŒr die Angriffe. Das erschwert die Erkennung erheblich.

Ein breites Arsenal fĂŒr den Datendiebstahl

Zum weiteren Repertoire von LongNosedGoblin gehören mehrere spezialisierte Werkzeuge. So analysiert die Schadsoftware "NosyHistorian" den Browserverlauf gĂ€ngiger Browser wie Chrome, Edge und Firefox, um gezielt weitere Angriffe zu planen. "NosyDoor" sammelt detaillierte Systeminformationen, kommuniziert mit den Kontrollservern der Angreifer und kann unter anderem Dateien stehlen, löschen oder beliebige Befehle auf den kompromittierten Rechnern ausfĂŒhren. Weitere Module sind auf den Diebstahl von Browserdaten, das heimliche Nachladen von Schadcode direkt im Arbeitsspeicher sowie das Mitschneiden von Tastatureingaben ausgelegt.

Auch Europa ist betroffen

Besonders brisant: LongNosedGoblin scheint nicht nur in Asien aktiv zu sein.

"Wir haben spĂ€ter eine weitere Variante von NosyDoor entdeckt, die gezielt eine Organisation in einem EU-Mitgliedstaat angriff – mit abweichenden Techniken und unter Nutzung von Yandex Disk als Kontrollserver", erklĂ€rt Cherepanov. "Dies deutet darauf hin, dass die eingesetzte Malware möglicherweise von mehreren chinesischen Hackergruppen gemeinsam genutzt wird."

FĂŒr Behörden und Betreiber kritischer Infrastrukturen ist der Fund ein weiteres Warnsignal: Selbst etablierte Verwaltungsmechanismen und vertrauenswĂŒrdige Cloud-Dienste können von staatlich unterstĂŒtzten Angreifern missbraucht werden und bleiben dabei lange unentdeckt.

Weitere Informationen zu den AktivitÀten von LongNosedGoblin gibt es in ESETs aktuellem englischsprachigen Blogpost "LongNosedGoblin tries to sniff out governmental affairs in Southeast Asia and Japan ( https://www.welivesecurity.com/en/eset-research/longnosedgoblin-tries-sniff-out-governmental-affairs-southeast-asia-japan )" auf Welivesecurity.com.

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: [email protected] Website: www.eset.de

@ pressetext.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.