Google und Mandiant stören globale Spionagekampagne der chinesischen Gruppe UNC2814

(Auszug aus der Pressemitteilung)

Der Google Threat Intelligence Group (GTIG) und Mandiant ist in Zusammenarbeit mit Branchenpartnern ein Schlag gegen eine mutmaßliche Spionagegruppe mit Verbindungen zur Volksrepublik China, genannt UNC2814, gelungen. Die Hackergruppe hat sich auf Telekommunikationsunternehmen und Regierungsorganisationen spezialisiert und 53 Angriffe in insgesamt 42 Ländern weltweit durchgeführt. Google geht von weiteren Angriffen in mehr als 20 anderen Ländern aus.

In den letzten Monaten wurde vermehrt über Hackergruppen berichtet, die Telekom-Provider und Regierungsstellen ins Visier nehmen, beispielsweise „Salt Typhoon“. Die GTIG hat jedoch keine Überschneidungen zwischen UNC2814 und „Salt Typhoon“ festgestellt. Die GTIG verfolgt UNC2814 seit fast einem Jahrzehnt als eigenständige Gruppe, da sie es mit einer eigenen Infrastruktur und eigenen Taktiken weltweit auf andere Opfer abgesehen hat.

Eine Untersuchung von Mandiant ergab, dass UNC2814 Ende 2025 eine neue Backdoor namens „GRIDTIDE“ einsetzte, um ihren Zugriff auf gehackte Systeme langfristig zu sichern. Die von GTIG analysierte GRIDTIDE-Probe verbindet sich für Command-and Control (C2) mit einer Google-Tabelle, die von den Angreifern kontrolliert wird, wodurch sie sich effektiv in den normalen Netzwerkverkehr einfügt. Es handelt sich hierbei nicht um eine Sicherheitslücke oder einen Exploit in Google Sheets.

Vielmehr ist dies ein Beispiel dafür, wie Bedrohungsakteure legitime Google Sheets-Funktionen missbrauchen, um unentdeckt zu bleiben. Es unterstreicht den aktuellen Trend unter Bedrohungsakteuren, lieber SaaS-Plattformen für ihre Zwecke zu nutzen, anstatt eine eigene benutzerdefinierte Infrastruktur zu erstellen und instand zu halten.

Die wichtigsten Erkenntnisse:

• Zielgruppe: UNC2814 richtet sich in erster Linie gegen globale Telekommunikationsanbieter und Regierungsorganisationen. Die GTIG hat nur begrenzte Einblicke in die gestohlenen Daten, vermutet aber, dass die Angriffe darauf abzielen, die Kommunikation von relevanten Zielpersonen zu identifizieren, zu verfolgen und zu überwachen. Dafür werden personenbezogene Daten, Anrufprotokolle und SMS-Verkehr kompromittiert. In mehreren bestätigten Fällen haben die Angreifer hochsensible, personenbezogene Daten wie Ausweisnummern und Wählerausweisnummern ins Visier genommen.
• Umfang:Bis heute hat die GTIG 53 Opfer in 42 Ländern identifiziert und es gibt Hinweise auf Angriffe in mehr als 20 weiteren Ländern.
  • UNC2814 ist seit mindestens 2017 aktiv und baut seine globale Präsenz aus.
  • Dies ist eine der weitreichendsten und durchschlagendsten Kampagnen, die die GTIG in den letzten Jahren verfolgt hat.
  • Die GTIG hat alle betroffenen Personen offiziell benachrichtigt und unterstützt aktiv Organisationen, bei denen eine Kompromittierung nachgewiesen wurde.
• Stilllegung der Infrastruktur: In einer koordinierten Aktion hat Google alle von den Angreifern kontrollierten Cloud-Projekte beendet, bekannte Konten deaktiviert und aktuelle/historische Domains gesperrt, um den Zugriff auf kompromittierte Umgebungen zu unterbinden. Die Experten der GTIG gehen davon aus, dass dieser Eingriff einen erheblichen Rückschlag für die umfassenden Aktivitäten von UNC2814 bedeutet.
• Neue Hintertür: GRIDTIDE ist eine C-basierte Malware, die legitime Cloud-Tabellenkalkulationen in eine Command-and-Control-Infrastruktur (C2) umwandelt, um die Übertragung von Rohdaten von Opfern zu erleichtern.
  • Während die GRIDTIDE-Malware aus dieser Kampagne Google Sheets für ihre C2 nutzte, ist ihre Architektur anpassungsfähig und der Akteur könnte problemlos andere cloudbasierte Tabellenkalkulationstools auf die gleiche Weise nutzen.
  • Basierend auf der analysierten Probe ist der früheste bekannte Einsatz dieser Backdoor Ende 2025, aber die GTIG vermutet, dass neue Details über historische Kompromittierungen bekannt werden, sobald Organisationen anfangen, diese mithilfe der neu veröffentlichten Kompromittierungsindikatoren (Indicators of Compromise, IoCs) und Threat-Hunting-Hinweise zu suchen.