Schadsoftware TinyRCT: Zehn Organisationen in Südostasien kompromittiert
26.06.2026 - 23:29:39 | boerse-global.de
Cybersicherheitsforscher haben eine chinesischsprachige Hackergruppe identifiziert, die gezielt Regierungsbehörden und Energieunternehmen angreift.
Die Gruppe mit der Bezeichnung CL-STA-1062 nutzt eine neuartige Hintertür namens TinyRCT, um in fremde Netzwerke einzudringen. Mindestens zehn Organisationen wurden zwischen September und Dezember 2025 kompromittiert, wie ein am Freitag veröffentlichter Bericht zeigt.
TinyRCT: Eine gefährliche Fernsteuerung
Bei TinyRCT handelt es sich um einen sogenannten Remote Access Trojan (RAT) auf .NET-Basis. Die Schadsoftware ermöglicht Angreifern die vollständige Kontrolle über befallene Systeme. Sie können beliebige Befehle ausführen, Dateien stehlen oder Bildschirminhalte abgreifen.
Um der Entdeckung zu entgehen, verschlüsselt TinyRCT seine Kommunikation mit einem Kommando-Server mittels AES-128-CBC. Die Verbindung wird alle zehn Sekunden aktualisiert. Zudem verfügt die Malware über einen Selbstzerstörungsmechanismus.
Die Infektionskette beginnt meist mit einer komprimierten Datei namens chrome_setup.zip. Über eine Technik namens AppDomainManager-Injection wird die Schadsoftware geladen – getarnt als legitime Datei PerfWatson2.exe.
Systematischer Angriff auf kritische Infrastruktur
Die Kampagne richtet sich speziell gegen Regierungseinrichtungen und Energieversorger in Südostasien. Obwohl CL-STA-1062 bereits seit März 2022 aktiv ist, verstärkte die Gruppe ihre Aktivitäten im Laufe des Jahres 2025 deutlich.
Die chinesische Gruppe CL-STA-1062 hat mit TinyRCT bereits zehn Organisationen kompromittiert – gezielte Angriffe auf Regierung und Energieversorger. Mit unserer Checkliste erkennen Sie die Indikatoren frühzeitig und setzen einen bewährten Notfallplan um. Jetzt Schutz-Report anfordern
Neben der eigenen Schadsoftware TinyRCT setzen die Hacker auf eine Reihe von Open-Source-Tools. Dazu gehören:
- SoftEther VPN zur Verschleierung der Verbindungen
- Mimikatz zum Diebstahl von Zugangsdaten
- ASPX-Webshells zur dauerhaften Kontrolle
- JuicyPotato zur Rechteausweitung
Die Persistenz in den angegriffenen Netzwerken sichern sich die Angreifer durch geplante Tasks, die legitime Google-Update-Dienste imitieren.
Verbindungen zu weiteren Angriffen
Die Forscher sehen Verbindungen zwischen CL-STA-1062 und einer weiteren Gruppe namens UAT-7237. Diese war bereits Mitte 2025 bei Angriffen auf Webhosting-Anbieter in Taiwan aktiv geworden.
Angreifer nutzen Open-Source-Tools wie Mimikatz und SoftEther VPN, um in kritische Netzwerke einzudringen. Unser Report zeigt, wie Sie die AppDomainManager-Injection-Technik erkennen und abwehren – bevor Ihre Systeme kompromittiert werden. TinyRCT-Abwehrleitfaden jetzt sichern
Die aktuellen Enthüllungen reihen sich ein in eine Serie von Cyberangriffen mit mutmaßlich chinesischem Hintergrund in der Region. Erst kürzlich wurde die GopherWhisper-Kampagne bekannt, die mongolische Regierungsinstitutionen mit Go-basierten Hintertüren angriff und legitime Dienste wie Slack und Discord für die Kommunikation missbrauchte.
Auch Japan bleibt nicht verschont: Ermittler deckten einen Vorfall aus dem Jahr 2024 auf, bei dem die japanischen Bodenselbstverteidigungsstreitkräfte mit manipulierten USB-Sticks infiziert wurden. Über 50 Computer waren betroffen – die Infektion blieb bis Februar 2025 unentdeckt.
