Das Unit-42-Team von Palo Alto Networks hat eine neue Cyber-Spionagegruppe identifiziert, die als TGR-STA-1030 bezeichnet wird. Die Aktivitäten der Gruppe werden als "Shadow Campaigns" bezeichnet. Die Angriffe erfolgten laut der Unit-42-Untersuchung primär durch gezielte Phishing-Kampagnen mit Ködern zu angeblichen Ministeriums-Umstrukturierungen sowie durch Ausnutzung bekannter Schwachstellen. Zur Kompromittierung setzt die Gruppe spezialisierte Malware ein, darunter "Diaoyu Loader" und den neuen Linux-Kernel-Rootkit "Shadowguard".
Gemäss den Security-Experten zielt die Gruppe primär auf Regierungsministerien und -behörden ab, darunter fünf nationale Strafverfolgungs-/Grenzschutzbehörden, drei Finanzministerien sowie Behörden mit Zuständigkeiten für Wirtschaft, Handel, natürliche Ressourcen und diplomatische Angelegenheiten.
Die Gruppe führte demnach auch gezielte Aufklärungsaktivitäten gegen deutsche Regierungsinfrastruktur (über 490 IP-Adressen) sowie gegen EU-Infrastruktur (über 600 IP-Adressen) durch. Die Gruppe kompromittierte laut Untersuchung nachweislich Regierungsstellen in acht europäischen Ländern.
Etwa jedes fünfte Land weltweit sei im vergangenen Jahr von kritischen Sicherheitsverletzungen durch diese Gruppe betroffen gewesen. Im vergangenen Jahr habe es bestätigte Kompromittierungen von Regierungs- und kritischen Infrastrukturorganisationen in 37 Ländern gegeben.
