Jena - Sicherheitsforscher des europäischen IT-Sicherheitsherstellers ESET haben eine bislang unbekannte, mutmaßlich mit China in Verbindung stehende Hackergruppe identifiziert.
18.12.2025 - 14:15:00Chinesische Hackergruppe missbraucht Windows-Gruppenrichtlinien für Angriffe. Mit ihren Angriffen nehmen die Hacker gezielt Regierungsnetze ins Visier. Die Gruppe mit dem Namen LongNosedGoblin missbraucht dabei ausgerechnet ein zentrales Verwaltungswerkzeug von Windows-Systemen: Gruppenrichtlinien (Group Policies), die üblicherweise in Active-Directory-Umgebungen eingesetzt werden. Auf diese Weise kann sich die Schadsoftware unauffällig im Netzwerk ausbreiten – mit weitreichenden Folgen für betroffene Behörden.
"Der Missbrauch von Gruppenrichtlinien zur flächendeckenden Malware-Verteilung ist technisch anspruchsvoll und deutet auf eine hohe Expertise der Hacker hin", sagt ESET-Forscher Anton Cherepanov. "In Kombination mit Cloud-basiertem Command & Control erschwert dies die Erkennung erheblich."
Cyber-Spionage gegen Behörden in Asien
Nach Erkenntnissen von ESET liegt das Hauptaugenmerk von LongNosedGoblin in der Cyberspionage. Ziel sind Regierungsinstitutionen in Südostasien und Japan. Erste Spuren der Aktivitäten reichen mindestens bis September 2023 zurück. Im Jahr 2024 stießen die Forscher erstmals auf bislang unbekannte Schadprogramme im Netzwerk einer südostasiatischen Regierungsbehörde. Seit September dieses Jahres registrieren die Sicherheitsforscher erneut verstärkte Aktivitäten der Gruppe in der Region.
Bemerkenswert ist die Vorgehensweise der Angreifer: Die Schadsoftware wird nicht nur über kompromittierte interne Netzwerke verteilt, sondern nutzt auch legitime Cloud-Dienste wie Microsoft OneDrive, Google Drive – und in einem weiteren Fall sogar Yandex Disk – als Kommandozentrum für die Angriffe. Das erschwert die Erkennung erheblich.
Ein breites Arsenal für den Datendiebstahl
Zum weiteren Repertoire von LongNosedGoblin gehören mehrere spezialisierte Werkzeuge. So analysiert die Schadsoftware "NosyHistorian" den Browserverlauf gängiger Browser wie Chrome, Edge und Firefox, um gezielt weitere Angriffe zu planen. "NosyDoor" sammelt detaillierte Systeminformationen, kommuniziert mit den Kontrollservern der Angreifer und kann unter anderem Dateien stehlen, löschen oder beliebige Befehle auf den kompromittierten Rechnern ausführen. Weitere Module sind auf den Diebstahl von Browserdaten, das heimliche Nachladen von Schadcode direkt im Arbeitsspeicher sowie das Mitschneiden von Tastatureingaben ausgelegt.
Auch Europa ist betroffen
Besonders brisant: LongNosedGoblin scheint nicht nur in Asien aktiv zu sein.
"Wir haben später eine weitere Variante von NosyDoor entdeckt, die gezielt eine Organisation in einem EU-Mitgliedstaat angriff – mit abweichenden Techniken und unter Nutzung von Yandex Disk als Kontrollserver", erklärt Cherepanov. "Dies deutet darauf hin, dass die eingesetzte Malware möglicherweise von mehreren chinesischen Hackergruppen gemeinsam genutzt wird."
Für Behörden und Betreiber kritischer Infrastrukturen ist der Fund ein weiteres Warnsignal: Selbst etablierte Verwaltungsmechanismen und vertrauenswürdige Cloud-Dienste können von staatlich unterstützten Angreifern missbraucht werden und bleiben dabei lange unentdeckt.
Weitere Informationen zu den Aktivitäten von LongNosedGoblin gibt es in ESETs aktuellem englischsprachigen Blogpost "LongNosedGoblin tries to sniff out governmental affairs in Southeast Asia and Japan ( https://www.welivesecurity.com/en/eset-research/longnosedgoblin-tries-sniff-out-governmental-affairs-southeast-asia-japan )" auf Welivesecurity.com.
(Ende)
Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de
