92 ist die hälfte von 99

Wenn Drucker-Software zur Waffe wird: Chinesische Hacker-Gruppe UNC6384 greift europäische Diplomaten an

Stellt euch vor, ihr bekommt eine E-Mail mit der Agenda für eine wichtige EU-Sitzung. Für „normale“ Leute seltsam, für EU-Abgeordnete, Politiker oder Diplomaten ganz normales Tagesgeschäft. Klingt also erstmal harmlos, oder?

Genau diese scheinbare Normalität nutzen Hacker aus, um in die Systeme diplomatischer Einrichtungen einzudringen. Arctic Wolf Labs hat jetzt eine ziemlich raffinierte Kampagne aufgedeckt, die zeigt, wie kreativ und gefährlich moderne Cyber-Spionage geworden ist.

Wer steckt dahinter?

Die Angriffe gehen auf das Konto von UNC6384, einer chinesischen Hacker-Gruppe, die sich auf Spionage spezialisiert hat. Diese Leute sind nicht irgendwelche Script-Kiddies – sie sind Profis, die vermutlich im Auftrag der chinesischen Regierung arbeiten. Ihr Ziel? Europäische Diplomaten, vor allem in Ungarn, Belgien, Serbien, Italien und den Niederlanden.

Was diese Gruppe besonders macht: Sie haben enge Verbindungen zu einer anderen berüchtigten Gruppe namens „Mustang Panda“. Beide teilen sich ähnliche Werkzeuge, Vorgehensweisen und Ziele – wie eine Art dunkle Familie im Cyber-Untergrund.

Wie funktioniert der Angriff? Ein Blick hinter die Kulissen

Jetzt wird’s technisch – aber keine Sorge, ich erkläre es Schritt für Schritt so, dass ihr es versteht:

Schritt 1: Die Köder-E-Mail

Alles beginnt mit einer täuschend echten E-Mail. Die Hacker haben sich richtig Mühe gegeben: Sie verwenden Themen wie „Agenda für EU-Treffen in Brüssel am 26. September“ oder „NATO-Workshop zu Rüstungsbeschaffung“. Das sind echte Veranstaltungen, die tatsächlich stattgefunden haben! Die E-Mails enthalten einen Link oder Anhang, der wie ein normales PDF aussieht.

Schritt 2: Die Windows-Schwachstelle

Hier kommt der clevere Teil: Die Hacker nutzen eine Windows-Sicherheitslücke namens ZDI-CAN-25373, die erst im März 2025 öffentlich bekannt wurde. Diese Lücke betrifft LNK-Dateien (das sind diese kleinen Verknüpfungs-Icons auf eurem Desktop).

Das Geniale daran: Man kann in diesen Dateien unsichtbare Befehle verstecken, indem man sie mit Leerzeichen „auffüllt“. Für euch sieht die Datei aus wie „Agenda_Meeting 26 Sep Brussels.lnk“ – aber wenn ihr darauf klickt, passiert im Hintergrund eine Menge mehr.

Schritt 3: Der Drucker-Trick (DLL Side-Loading)

Jetzt wird’s richtig raffiniert. Die LNK-Datei lädt erstmal ein echtes, legitimes Programm herunter: Eine Canon-Druckersoftware namens „cnmpaui.exe“. Diese Software ist sogar digital signiert, also von Canon als vertrauenswürdig bestätigt!

Aber hier ist der Trick: Zusammen mit der echten Software kommt eine manipulierte Datei namens „cnmpaui.dll“. Wenn Windows das Canon-Programm startet, sucht es nach dieser DLL-Datei (das ist so eine Art Hilfsprogramm). Windows findet zuerst die manipulierte Version im gleichen Ordner und lädt sie, ohne zu murren.

Stellt euch das vor wie einen Bodyguard (die echte Canon-Software), der unwissentlich einen Einbrecher (die böse DLL) mit ins Gebäude bringt, weil dieser die richtige Uniform trägt.

Schritt 4: Die verschlüsselte Schadsoftware

Die manipulierte DLL hat nur einen Job: Sie öffnet eine dritte Datei namens „cnmplog.dat“. Diese Datei sieht auf den ersten Blick wie Datenmüll aus, ist aber mit einem RC4-Schlüssel verschlüsselt. Die DLL entschlüsselt sie und tada! heraus kommt die eigentliche Schadsoftware: PlugX.

Was ist PlugX und warum ist es so gefährlich?

PlugX ist wie ein digitaler Spion, der dauerhaft in eurem System lebt. Diese Schadsoftware gibt es schon seit 2008 und sie wird immer wieder weiterentwickelt. PlugX kann:

  • Jeden Tastendruck aufzeichnen (Keylogging)
  • Dateien hochladen und herunterladen
  • Befehle aus der Ferne ausführen
  • Sich selbst im System einnisten, sodass sie auch nach Neustarts überlebt
  • Informationen über euer System sammeln

Das Fiese: PlugX läuft „im Speicher“ der legitimen Canon-Software. Die meisten Virenscanner schauen sich nur ausführbare Dateien (.exe) an, aber hier ist die Schadsoftware quasi unsichtbar in einem vertrauenswürdigen Programm versteckt.

Die Tarnung: Perfekte Täuschung

Während im Hintergrund all das passiert, zeigt der Computer euch ein echtes PDF-Dokument an, zum Beispiel die tatsächliche Agenda der EU-Sitzung. Ihr denkt, alles ist normal, während die Hacker gerade die Hintertür aufmachen.

Die Schadsoftware richtet sich dann gemütlich ein:

  • Sie kopiert sich in versteckte Ordner wie „SamsungDriver“, „IntelNet“ oder „DellSetupFiles“ (hört sich harmlos an, oder?)
  • Sie trägt sich in die Windows-Registry ein unter dem Namen „CanonPrinter“, sodass sie bei jedem Systemstart automatisch lädt
  • Der Ordnername ändert sich regelmäßig, um Sicherheitssoftware zu verwirren

Die Kommando-Zentrale

Einmal installiert, kontaktiert PlugX seine „Chefs“ über verschlüsselte HTTPS-Verbindungen (sieht aus wie normaler verschlüsselter Webverkehr). Die Hacker verwenden Domains wie:

  • racineupci[.]org
  • dorareco[.]net
  • naturadeco[.]net

Diese Adressen sind extra so gewählt, dass sie harmlos klingen. Die Kommunikation läuft über Port 443 (Standard für verschlüsselte Webseiten), und sie geben sich als normaler Browser aus (Internet Explorer 9, falls es jemand interessiert).

Entwicklung in Echtzeit

Besonders beunruhigend: Die Hacker entwickeln ihre Tools aktiv weiter. Zwischen September und Oktober 2025 haben sie ihren „CanonStager“ (der Teil, der die Schadsoftware lädt) von etwa 700 KB auf nur noch 4 KB geschrumpft!

Das ist so, als würde man einen Einbruchswerkzeug-Koffer von der Größe einer Reisetasche auf ein Etui reduzieren; kleiner, unauffälliger, aber genauso effektiv.

Warum gerade Diplomaten?

Die Frage ist natürlich: Warum das alles? Nun, Diplomaten haben Zugang zu hochsensiblen Informationen:

  • Verhandlungspositionen bei internationalen Abkommen
  • EU-Verteidigungskooperationen und NATO-Pläne
  • Wirtschaftspolitische Entscheidungen, die Chinas Interessen betreffen könnten
  • Beziehungen zwischen EU-Ländern, wo gibt es Spannungen, wo Einigkeit?

Wenn China weiß, was Europa plant, hat es einen enormen Vorteil bei Verhandlungen, Handelsabkommen oder geopolitischen Schachzügen.

Die Themen der Köder-E-Mails sind nicht zufällig gewählt:

  • Grenzabfertigungen zwischen EU und Westbalkan – wichtig für Handelsrouten
  • NATO-Rüstungsbeschaffung – militärische Kapazitäten Europas
  • Europäische Politische Gemeinschaft – wie koordiniert sich Europa?

Was macht diese Kampagne besonders?

  1. Schnelle Anpassung: Die Windows-Schwachstelle wurde im März 2025 veröffentlicht und schon im September wurde sie von UNC6384 verwendet. Nur sechs Monate! Das zeigt, wie schnell diese Gruppen neue Sicherheitslücken ausnutzen können.
  2. Perfektes Social Engineering: Die Hacker nutzen echte Veranstaltungen mit korrekten Daten, Orten und Themen. Sie haben offensichtlich Zugang zu diplomatischen Kalendern oder recherchieren sehr gründlich.
  3. Mehrgleisige Strategie: Neben dieser E-Mail-Kampagne betreibt UNC6384 auch andere Angriffsmethoden, wie das Hijacking von WLAN-Portalen (man kennt diese „Anmelde-Seiten“ in Hotels oder Flughäfen).
  4. Expansion nach Europa: Früher konzentrierte sich UNC6384 auf Südostasien. Jetzt haben sie Europa ins Visier genommen,- das zeigt entweder einen erweiterten Auftrag oder zusätzliche Teams.

Was kann man dagegen tun?

Für Organisationen:

  • Blockiert LNK-Dateien aus verdächtigen Quellen. Da es noch keinen offiziellen Microsoft-Patch für diese Schwachstelle gibt, muss man kreativ werden.
  • Sperrt die bekannten Kommando-Server in euren Firewalls
  • Sucht nach Canon-Druckersoftware an ungewöhnlichen Orten – die gehört normalerweise nicht ins Benutzer-Temp-Verzeichnis!
  • Schult eure Mitarbeiter im Erkennen von Phishing-E-Mails

Für normale User:

  • Seid skeptisch bei E-Mail-Anhängen, selbst wenn sie professionell aussehen
  • Achtet auf Dateiendungen: Eine „Agenda.pdf“ sollte nicht plötzlich „Agenda.pdf.lnk“ heißen
  • Fragt im Zweifelsfall beim Absender nach – aber nicht per Antwort auf die verdächtige E-Mail, sondern über einen anderen Kanal (Telefon, separater Chat)
  • Haltet euer System aktuell (auch wenn es in diesem Fall noch keinen Patch gibt, helfen Updates gegen viele andere Angriffe)

Das größere Bild

Diese Kampagne ist ein Paradebeispiel für moderne Cyber-Spionage auf Staatsniveau:

  • Geduldig: Die Hacker nehmen sich Zeit, ihre Opfer auszuwählen und maßgeschneiderte Köder zu erstellen
  • Professionell: Mehrschichtige Angriffe mit Verschlüsselung, Tarnmechanismen und Anti-Analyse-Tricks
  • Zielgerichtet: Keine wahllose Angriffe, sondern präzise Auswahl von hochwertigen Zielen
  • Persistent: Einmal drin, bleiben sie unentdeckt und sammeln über Monate oder Jahre Daten

Das ist keine Cyber-Kriminalität im klassischen Sinn (kein Ransomware, keine gestohlenen Kreditkarten) das ist strategische Spionage im digitalen Zeitalter. Und sie funktioniert erschreckend gut.

Fazit

Die UNC6384-Kampagne zeigt eindrucksvoll, wie ausgefeilt moderne Cyberangriffe sind. Von der psychologischen Manipulation (Social Engineering) über die technische Raffinesse (DLL-Hijacking, Verschlüsselung) bis zur operativen Sicherheit (wechselnde Ordner, legitime Software als Tarnung) -> hier arbeiten echte Profis.

Für europäische diplomatische Einrichtungen ist das ein Weckruf: Die digitale Sicherheit ist genauso wichtig wie die physische. Ein kompromittiertes System kann genauso viel Schaden anrichten wie ein eingeschleuster Spion, nur eben schneller und schwerer zu entdecken.

Die gute Nachricht? Durch Aufmerksamkeit und richtige Sicherheitsmaßnahmen lassen sich viele dieser Angriffe verhindern oder zumindest frühzeitig erkennen. Die schlechte Nachricht? Die Angreifer schlafen nicht und werden immer kreativer.

Bleibt wachsam da draußen!

Stephan
| | | |
nach oben | Startseite | zur Suche