TAMECAT Hintertür
Eine Welle von Spionageaktivitäten im Zusammenhang mit der iranischen, staatsnahen Gruppe APT42 ist aufgetaucht. Analysten beobachten gezielte Angriffe gegen Einzelpersonen und Organisationen, die mit den Interessen der Islamischen Revolutionsgarde (IRGC) verbunden sind. Die Anfang September 2025 entdeckte und unter dem Codenamen SpearSpecter bekannte Operation demonstriert eine ausgeklügelte Kombination aus Social Engineering und dem Einsatz maßgeschneiderter Schadsoftware zur Informationsgewinnung.
Inhaltsverzeichnis
Eine erweiterte Zielgruppenstrategie
Die Drahtzieher dieser Kampagne haben es direkt auf hochrangige Regierungs- und Verteidigungsbeamte abgesehen und versuchen mit hochgradig personalisierten Methoden, sie zur Teilnahme zu bewegen. Einladungen zu hochrangigen Konferenzen und Angebote einflussreicher Treffen dienen dabei als gängige Köder. Ein charakteristisches Merkmal dieser Aktivitäten ist die Ausweitung des Opferkreises auf Familienmitglieder, wodurch der Druck erhöht und die Angriffsfläche um die primären Ziele herum vergrößert wird.
Ursprünge und Entwicklung von APT42
APT42 wurde Ende 2022 öffentlich bekannt, kurz nachdem Forscher die Gruppe mit mehreren IRGC-nahen Gruppen in Verbindung gebracht hatten. Dazu gehören bekannte Cluster wie APT35, Charming Kitten, ITG18, Mint Sandstorm und TA453. Das operative Markenzeichen der Gruppe ist ihre Fähigkeit, über Wochen andauernde Social-Engineering-Operationen durchzuführen und dabei vertrauenswürdige Kontakte zu imitieren, um Glaubwürdigkeit zu gewinnen, bevor sie schädliche Daten oder bösartige Links einschleusen.
Anfang Juni 2025 deckten Spezialisten eine weitere großangelegte Kampagne auf, die sich gegen israelische Cybersicherheits- und Technologieexperten richtete. Die Angreifer gaben sich in E-Mails und WhatsApp-Nachrichten als Führungskräfte und Forscher aus. Obwohl die Aktivitäten im Juni und SpearSpecter miteinander in Zusammenhang stehen, stammen sie aus zwei verschiedenen internen Clustern von APT42: Cluster B konzentrierte sich auf den Diebstahl von Zugangsdaten, während Cluster D Malware-basierte Angriffe durchführte.
Personalisierte Täuschungstaktiken
Das Kernstück von SpearSpecter ist eine flexible Angriffsmethodik, die sich nach dem Wert des Ziels und den Zielen der Angreifer richtet. Manche Opfer werden auf gefälschte Meeting-Portale umgeleitet, die darauf abzielen, Zugangsdaten zu stehlen. Andere werden einem aggressiveren Ansatz ausgesetzt, der eine persistente PowerShell-Backdoor namens TAMECAT einblendet – ein Tool, das die Gruppe in den letzten Jahren wiederholt eingesetzt hat.
Gängige Angriffsketten beginnen mit Identitätsdiebstahl auf WhatsApp. Der Angreifer leitet einen schädlichen Link weiter, der angeblich ein wichtiges Dokument für ein bevorstehendes Treffen enthält. Durch Anklicken des Links wird eine Weiterleitung ausgelöst, die zur Zustellung einer als PDF getarnten LNK-Datei über WebDAV führt. Dabei wird der Protokollhandler `search-ms:` ausgenutzt, um das Opfer zu täuschen.
Die TAMECAT-Hintertür: Modular, persistent und adaptiv
Nach der Ausführung stellt die LNK-Datei eine Verbindung zu einer vom Angreifer betriebenen Cloudflare Workers-Subdomain her, um ein Batch-Skript abzurufen, das TAMECAT aktiviert. Dieses PowerShell-basierte Framework nutzt modulare Komponenten zur Unterstützung von Datenexfiltration, Überwachung und Fernverwaltung. Seine Command-and-Control-Kanäle (C2) umfassen HTTPS, Discord und Telegram und gewährleisten so die Ausfallsicherheit, selbst wenn ein Kommunikationskanal unterbrochen ist.
Bei Telegram-basierten Operationen ruft TAMECAT PowerShell-Code ab und führt ihn aus, der von einem unter der Kontrolle der Angreifer stehenden Bot weitergeleitet wird. Discord-basierte C2-Operationen nutzen einen Webhook, der Systemdetails sendet und Befehle von einem vordefinierten Kanal empfängt. Analysen deuten darauf hin, dass die Befehle für jeden infizierten Host individuell angepasst werden können, wodurch koordinierte Angriffe auf mehrere Ziele über eine gemeinsame Infrastruktur ermöglicht werden.
Fähigkeiten, die Tiefenspionage unterstützen
TAMECAT bietet ein breites Spektrum an Funktionen zur Informationsbeschaffung. Dazu gehören:
- Datenerfassung und -extraktion
- Dateien mit bestimmten Erweiterungen erfassen
- Datenextraktion aus Google Chrome-, Microsoft Edge- und Outlook-Postfächern
- Es wird alle 15 Sekunden ein Screenshot erstellt.
- Exfiltration gesammelter Informationen über HTTPS oder FTP
- Tarn- und Ausweichmaßnahmen
- Verschlüsselung von Telemetriedaten und Nutzdaten
- Verschleierung des PowerShell-Quellcodes
- Verwendung von Binärdateien, die sich in der Systemarchitektur ausbreiten, um bösartige Aktionen mit normalem Systemverhalten zu vermischen
- Die Ausführung erfolgt primär im Arbeitsspeicher, um Festplattenartefakte zu minimieren.
Eine widerstandsfähige und getarnte Infrastruktur
Die Infrastruktur von SpearSpecter kombiniert vom Angreifer kontrollierte Systeme mit legitimen Cloud-Diensten, um schädliche Aktivitäten zu verschleiern. Dieser hybride Ansatz ermöglicht einen reibungslosen Erstzugriff, dauerhafte C2-Kommunikation und verdeckte Datenextraktion. Das operative Design spiegelt die Absicht eines Angreifers wider, langfristig in sensible Netzwerke einzudringen und dabei die eigene Gefährdung so gering wie möglich zu halten.
Abschluss
Die SpearSpecter-Kampagne unterstreicht die kontinuierliche Weiterentwicklung der Spionageoperationen von APT42. Durch die Kombination von langfristigem Social Engineering, adaptiver Malware und einer robusten Infrastruktur werden die nachrichtendienstlichen Ziele erreicht. Aufgrund ihrer Persistenz und gezielten Vorgehensweise sind Beamte, Verteidigungspersonal und ihnen nahestehende Personen weiterhin gefährdet. Dies unterstreicht die Notwendigkeit erhöhter Wachsamkeit und strenger Sicherheitsvorkehrungen über alle Kommunikationskanäle hinweg.
