FamousSparrow-Gruppe tarnt sich für langfristigen Zugriff auf das Opfernetz.
Cyberangriffe auf die Öl- und Gasindustrie im Südkaukasus verdienen angesichts der zunehmenden Relevanz der Region für die europäische Energieversorgung eine besondere Aufmerksamkeit. Offenbar verlagern Cyberkriminelle mit staatlich-chinesischem Hintergrund – wie etwa FamousSparrow – ihre Aktivitäten in diese Region.
Zusammenfassung: ((TL; DR)
- Die als staatlich-chinesisch eingestufte Gruppe FamousSparrow attackiert die aserbaidschanische Öl- und Gasindustrie, um sich langfristig Zugriff auf Infrastruktur-Netzwerke zu verschaffen.
- Dabei setzen die Hacker auf modifizierte Malware, wiederholte Angriffe auf denselben Microsoft-Exchange-Server und ein getarntes DLL-Sideloading zur Umgehung von Sicherheitsmechanismen.
- Nach initialer Kompromittierung nutzen die Akteure privilegierte Zugangsdaten für Seitwärtsbewegungen und tarnen ihre C2-Infrastruktur als legitime Dienste.
Die Bitdefender Labs haben eine gezielte Attacke auf ein aserbaidschanisches Energie-Infrastrukturunternehmen analysiert, die mit großer Wahrscheinlichkeit der FamousSparrow-Gruppe zuzuschreiben ist.
Vor dem Hintergrund der aktuellen Unterbrechungen des Schiffsverkehrs durch die Straße von Hormus steigt die Rolle von Aserbaidschan. Das Land versorgt seit 2026 sechzehn statt vorher vierzehn Länder in Europa mit Gas. Seit Januar 2026 sind auch Abnehmer aus Deutschland sowie Österreich unter den Kunden. Das Exportvolumen nach Europa stieg in den letzten fünf Jahren um rund 56 Prozent.
Im negativen Sinne nachhaltig zielten die Angreifer im Winter 2025/2026 mehrfach auch nach erfolgten Abwehrmaßnahmen auf denselben verwundbaren Microsoft-Exchange-Server. Dabei passten sie ihr Vorgehen an. Ende Dezember 2025 versuchten sie die Windows-Exchange-Server-Schwachstelle ProxyNotShell auszunutzen und den Remote Access-Trojaner (RAT) Deed durch ein Sideloading über den legitimen LogMeIn Hamachi-VPN-Client zu installieren.
Ende Januar/Anfang Februar blockte die Abwehr eine Terndoor-Backdoor, welche die Hacker über einen Mofu-Loader, einen von JPCERT dokumentierten Shellcode Loader, installieren wollten. Im dritten Versuch von Ende Februar 2026 nutzten die Hacker erneut den RAT Deed in einer modifizierten Konfiguration und versuchten ein weiteres Mal, denselben Einstiegspunkt zu nutzen.
Die Hacker nutzen zudem einen bemerkenswerten DLL-Sideloading -Mechanismus, um automatisierten Analysen zu entkommen. Im Gegensatz zu herkömmlichem DLL-Sideloading, das auf das Ersetzen einer Datei aufbaut, überschrieben die Hacker in diesem Fall zwei exportierte Funktionen innerhalb der bösartigen Library. Ein solcher zweifach angelegter Auslösemechanismus steuert die Ausführung des Deed-RAT-Loaders durch den natürlichen Ablauf der Host-Applikation und trägt dazu bei, das Sideloading besser zu tarnen.
Nach dem initialen Zugang sind Seitwärtsbewegungen mit Remote Desktop Protocoll und dem Server-Message-Block (SMB)-Protokoll belegt. Hacker nutzten Zugangsdaten von Domänen-Administratoren. Die Command-and-Control-Infrastruktur imitierte legitime Sicherheitsdienste, um einer Erkennung zu entgehen.
