FamousSparrow: Chinesische Hacker attackieren Aserbaidschans Energieinfrastruktur

Sicherheitsforscher haben eine mehrwellige Cyber-Spionage-Kampagne gegen die Energieinfrastruktur im Südkaukasus aufgedeckt. Die chinesische Gruppe FamousSparrow konnte ein großes Öl- und Gasunternehmen in Aserbaidschan kompromittieren – und das über Monate hinweg.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden für Unternehmen kostenlos herunterladen

Der Angriff, den die Sicherheitsfirma Bitdefender in einem aktuellen Bericht dokumentiert, nutzte ungepatchte Microsoft-Exchange-Server als Einfallstor. Zwischen Ende Dezember 2025 und Ende Februar 2026 drangen die Angreifer immer wieder in dasselbe Netzwerk ein – selbst nachdem die Sicherheitsteams des Unternehmens die Infektion vermeintlich bereinigt hatten.

Immer die gleiche Lücke – immer wieder ausgenutzt

Der erste Einbruch gelang am 25. Dezember 2025. Die Angreifer nutzten die sogenannte ProxyNotShell-Exploit-Kette – zwei bekannte Sicherheitslücken (CVE-2022-41040 und CVE-2022-41082), die auf ungepatchten Exchange-Servern eine Code-Ausführung ohne Authentifizierung ermöglichen. Einmal im System, installierte FamousSparrow mehrere Web-Shells mit Namen wie „key.aspx" oder „log.aspx", um dauerhaft Befehle ausführen zu können.

Doch damit nicht genug: Obwohl das aserbaidschanische Energieunternehmen die Schadsoftware mehrfach entfernte, kehrte die Gruppe immer wieder zurück – insgesamt dreimal innerhalb von zwei Monaten. Bitdefender spricht von einer „gezielten Spionageoperation", nicht von einem opportunistischen Angriff.

TernDoor und Deed RAT: Die Waffen der Spione

Die Hacker setzten im Laufe der Kampagne zwei verschiedene Schadsoftware-Familien ein. In der ersten Welle kam Deed RAT (auch bekannt als Snappybee) zum Einsatz – ein Nachfolger der berüchtigten ShadowPad-Malware, die häufig von chinesischen Spionagegruppen verwendet wird.

Die zweite Welle brachte TernDoor ins Spiel, eine Hintertür, die zuvor bereits bei Angriffen auf Telekommunikationsinfrastruktur in Südamerika beobachtet worden war. Besonders raffiniert: Die Gruppe versuchte, einen Treiber zu installieren, der als legitime Systemkomponente getarnt war, und nutzte DLL-Sideloading, um Sicherheitslösungen zu umgehen.

Für die Kommunikation mit ihren Kommando-Servern imitierte FamousSparrow sogar legitime Sicherheitsanbieter. Eine verwendete Domain – sentinelonepro[.]com – täuschte den bekannten Sicherheitsdienst SentinelOne vor.

Warum gerade Aserbaidschan?

Die Wahl des Ziels ist kein Zufall. Aserbaidschan ist für Europa zu einem strategisch zentralen Gaslieferanten geworden – insbesondere nachdem der russische Transitvertrag mit der Ukraine 2024 auslief. Hinzu kommen die Störungen in der Straße von Hormus Anfang 2026, die alternative Energiequellen für Europa noch wertvoller machten.

Die Ausweitung der Aktivitäten von FamousSparrow in den Energiesektor des Südkaukasus deutet auf ein gezieltes Interesse an europäischen Lieferketten und regionaler Energiesicherheit hin. Anders als bei Ransomware-Angriffen ging es den Hackern nicht um Geld – sie blieben leise, beobachteten und sammelten Informationen.

Lehren für die Industrie

Der Fall zeigt ein grundlegendes Problem: Veraltete Sicherheitsupdates. Die ProxyNotShell-Lücke ist seit 2022 bekannt – und dennoch blieb der Exchange-Server des Energieunternehmens ungepatcht. Bitdefender betont, dass Angreifer denselben Zugang so lange ausnutzen werden, bis die ursprüngliche Schwachstelle geschlossen und alle kompromittierten Zugangsdaten zurückgesetzt sind.

Rekord-Schäden durch Phishing und Spionage: Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich proaktiv absichern kann, bevor Angreifer psychologische Tricks und technische Lücken ausnutzen. Kostenloses Anti-Phishing-Paket anfordern

Für Sicherheitsteams bedeutet das: Überwachung des IIS-Worker-Prozesses auf unautorisierte Dateischreibvorgänge, genaue Prüfung ausgehenden HTTPS-Traffics auf verdächtige Domain-Namen und vor allem: sofortige Rotation aller Administrator-Zugangsdaten nach jeder erkannten Anomalie.

Ausblick: Der Südkaukasus bleibt im Visier

Mit der wachsenden Abhängigkeit Europas von nicht-russischen Energiequellen wird die Energieinfrastruktur des Südkaukasus ein bevorzugtes Ziel staatlich gesteuerter Spionage bleiben. Die Kampagne von FamousSparrow zeigt, dass geopolitische Verschiebungen unmittelbar die Taktik von APT-Gruppen beeinflussen.

Solange kritische Infrastrukturen notwendige Sicherheitsupdates verzögern, bleibt das Zeitfenster für Angreifer weit geöffnet. Branchenexperten erwarten eine weitere Verfeinerung der Techniken – insbesondere bei DLL-Sideloading und Kernel-Level-Persistenz. Unternehmen müssen proaktiver jagen, statt nur auf Alarme zu reagieren.

de | wissenschaft | 69338019 |