Chinesische Hacker infiltrieren südamerikanische Telekom-Netze

Eine neu identifizierte, mit China in Verbindung stehende Hackergruppe führt eine hochgradig koordinierte Cyber-Spionagekampagne gegen die Telekommunikationsbranche in Südamerika durch. Das geht aus einer aktuellen Analyse der Cybersicherheitsforscher von Cisco Talos hervor. Die als UAT-9244 bekannte Gruppe infiltriert seit 2024 systematisch kritische Infrastruktur in der Region. Ihr Ziel: Langzeitüberwachung und die Erfassung sensibler Datenströme.

Angriffe auf die Infrastruktur zeigen, wie verwundbar moderne Unternehmen gegenüber hochspezialisierten Hackermethoden sind. Dieser Experten-Report enthüllt effektive Strategien gegen Cyberkriminelle, mit denen Sie Ihre Organisation auch ohne Budget-Explosion schützen. Effektive Cyber-Security-Strategien entdecken

Das Arsenal der Spione: Drei spezielle Schadprogramme

Der Erfolg der Kampagne basiert auf einem Trio maßgeschneiderter Malware-Tools: TernDoor, PeerTime und BruteEntry. Jedes erfüllt eine spezifische Rolle bei der Infiltration.

TernDoor ist eine schwer zu erkennende Windows-Backdoor. Sie tarnt sich in legitimen Systemprozessen und ermöglicht Fernsteuerung, Dateimanipulation und kann sogar Sicherheitssoftware deaktivieren. Für Linux- und eingebettete Systeme – wie sie in Telekom-Hardware verbreitet sind – nutzt die Gruppe PeerTime. Dieses Schadprogramm nutzt das BitTorrent-Protokoll für seine Kommunikation, um sich in normalem Netzwerkverkehr zu verstecken. Auffällig: Debug-Informationen in PeerTime sind in vereinfachtem Chinesisch verfasst.

Das dritte Tool, BruteEntry, dient der Ausweitung des Zugriffs. Es wird auf bereits kompromittierten Netzwerkgeräten installiert, die dann zu Angriffsplattformen werden. Von dort aus startet es automatisiert Brute-Force-Angriffe auf weitere Server, um den Zugriff der Hacker im Netzwerk stetig zu erweitern.

Klare Verbindungen, aber keine Einheitsfront

Die Forscher von Cisco Talos sehen eine hohe Übereinstimmung von UAT-9244 mit den bekannten, chinesischen Gruppen FamousSparrow und Tropic Trooper. Die Code-Linie von TernDoor lässt sich zu älteren Implantaten dieser Gruppen zurückverfolgen.

Doch Vorsicht ist geboten: UAT-9244 ist nicht mit der ebenfalls chinesischen und im Telekom-Sektor aktiven Gruppe Salt Typhoon identisch. Obwohl beide das strategische Ziel verfolgen, Telekommunikationsanbieter zu kompromittieren, nutzen sie unterschiedliche Methoden und Werkzeuge. Diese Unterscheidung ist für die Abwehr entscheidend, denn sie zeigt: Aus demselben geopolitischen Umfeld operieren mehrere, parallele Spionagekampagnen – keine einzelne, monolithische Aktion.

Strategisches Ziel: Tiefe Vernetzung für maximale Ausspähung

Warum konzentriert sich UAT-9244 auf südamerikanische Telekom-Anbieter? Anders als finanziell motivierte Cyberkriminelle geht es hier um langfristige, unentdeckte Spionage. Die Infiltration dieser Grundversorger bietet einen einzigartigen Zugang.

Die koordinierte Infiltration zeigt, dass Hacker oft kleinste Schwachstellen und psychologische Muster ausnutzen, um tief in Netzwerke einzudringen. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie die Abwehr Ihrer IT-Infrastruktur gegen moderne Angriffsmethoden stärken. Kostenlosen Anti-Phishing-Guide herunterladen

Die Hacker positionieren sich, um unverschlüsselte Kommunikation abzufangen, Datenflüsse ganzer Nationen zu kartieren und die digitalen Aktivitäten hochrangiger Ziele zu überwachen. Die Wahl Südamerikas ist strategisch: Die Sicherheitsstandards in der Region sind oft uneinheitlich, was Lücken für die Angreifer schafft. Die Kompromittierung von Netzwerkrandgeräten – die oft weniger gut geschützt sind als Server – schafft zudem tote Winkel, in denen die Malware über Monate oder Jahre unentdeckt operieren kann.

Abwehr erfordert mehrschichtige Sicherheitsstrategie

Die Bekämpfung dieser Bedrohung erfordert ein proaktives Vorgehen der Telekommunikationsunternehmen. Experten raten zu rigorosen Audits von geplanten Tasks und Windows-Registry-Einträgen, um versteckte Schadsoftware zu finden. Zudem muss die Ausführung nicht signierter Treiber streng kontrolliert werden.

Konkret gegen UAT-9244 helfen bekannte Befehls- und Kontroll-Server-IPs, die blockiert werden sollten, sowie aktualisierte Virensignaturen. Besonderes Augenmerk muss auf den Netzwerkrandgeräten liegen, die oft das erste Einfallstor und Sprungbrett für die Hacker sind.

Die Kampagne von UAT-9244 ist eine deutliche Warnung. Da die globale Konnektivität für nationale Sicherheit und Wirtschaft immer zentraler wird, werden staatlich unterstützte Hacker ihre Angriffe weiter verfeern. Die Verteidigung der Kommunikationsnetze erfordert daher permanente Wachsamkeit, schnellen Threat-Intelligence-Austausch und fortschrittliche Verhaltensanalysen, um die subtilen Anzeichen tiefgreifender Netzwerkspionage zu erkennen.

boerse | 68696919 |