Mustang, Panda

Mustang Panda: China-Gruppe attackiert indische Wasserkraftanlagen

30.06.2026 - 11:54:23 | boerse-global.de

Chinesische Hackergruppe nutzt Cloud-Dienste für Angriffe auf Indiens kritische Infrastruktur und Regierungsnetze.

Mustang Panda: Spionage gegen indische Behörden und Kraftwerke
Mustang - Digitales Netzwerk mit leuchtenden Datenströmen über abstrakten Stromleitungen und Regierungsgebäuden, symbolisiert Cyber-Spionage. 30.06.2026 - Bild: über boerse-global.de

Ziel waren indische Regierungsnetzwerke und Wasserkraftanlagen.

Die Angreifer nutzten eine ausgeklügelte Kombination aus Cloud-Diensten und Spezial-Schadsoftware, um in kritische Infrastrukturen und Verwaltungssysteme einzudringen. Das geht aus Untersuchungen des Sicherheitsunternehmens Acronis hervor, die in Abstimmung mit dem indischen Computer-Notfallteam CERT-In durchgeführt wurden.

Drei-Stufen-Angriff mit Cloud-Tarnung

Die Kampagne, die zwischen dem 12. und 22. Juni 2026 aktiv war, setzte auf eine dreiteilige Malware-Strategie. Im ersten Schritt kam SHARDLOADER zum Einsatz – eine Schadsoftware, die legitime, signierte Programme wie Citrix Receiver oder Solid PDF Creator kapert. Diese sogenannte DLL-Sideloading-Technik ermöglicht es, schädlichen Code unter dem Deckmantel vertrauenswürdiger Anwendungen auszuführen.

War die erste Hürde genommen, installierten die Angreifer MINIRECON, eine Variante des Toneshell-Backdoors. Diese nutzt WebSockets über HTTPS für die Kommunikation. Das dritte und bemerkenswerteste Werkzeug heißt ZOHOMURK.

„ZOHOMURK stellt einen taktischen Wendepunkt dar", erklären die Sicherheitsexperten. Die Malware hinterlegt fest kodierte Anmeldedaten für Zoho OAuth und nutzt Zoho WorkDrive als Kommando- und Kontrollkanal. Der Datenverkehr der Angreifer tarnt sich so als legitime Cloud-Speicher-Aktivität – eine Methode, die herkömmliche Sicherheitslösungen leicht übersehen.

Die Opfer wurden mit Spear-Phishing-Ködern gelockt, die als Kooperationsangebote für Wasserkraftprojekte oder als Absichtserklärungen zwischen indischen und taiwanesischen Institutionen getarnt waren.

Schwachstellen trotz Hightech

Trotz der hochentwickelten Angriffsmethoden fielen den Forschern auch handwerkliche Fehler auf. Die Gruppe verwendete Klartext-Identifikatoren und griff auf bereits bekannte Infrastruktur zurück. Ein deutliches Zeichen dafür, dass selbst staatlich unterstützte Akteure nicht immer sauber arbeiten.

Anzeige

Die hier beschriebenen Spear-Phishing-Methoden zeigen, wie gezielt Angreifer menschliche Neugier und Vertrauen ausnutzen. Schützen Sie Ihr Unternehmen proaktiv vor solchen Manipulationstaktiken mit unserem kostenlosen Anti-Phishing-Paket inklusive Risikoanalyse. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Die aktuelle Kampagne reiht sich in eine Serie von Angriffen ein. Erst im April 2026 hatten dieselben Täter mit den LOTUSLITE-Operationen indische Banken attackiert. Bereits 2021 zielte die RedEcho-Kampagne auf das indische Stromnetz.

Versicherungsaufsicht gehackt

In einem separaten Vorfall bestätigte die US-amerikanische Versicherungsaufsicht NAIC einen Sicherheitsvorfall am 11. Juni 2026. Die Hackergruppe ShinyHunters nutzte eine Zero-Day-Lücke in Oracle PeopleSoft (CVE-2026-35273) aus.

Die Angreifer behaupten, 3,1 Terabyte an Daten gestohlen zu haben – darunter Regulierungsdokumente und Kundendaten. Die NAIC widerspricht: Der unbefugte Zugriff habe sich auf Konfigurationsdateien, alte Protokolle und bereits öffentlich zugängliche Finanzberichte beschränkt. Es gebe keine Hinweise auf gestohlene persönliche Daten oder Finanzinformationen.

Anzeige

Ob Zero-Day-Lücken oder neue KI-gestützte Angriffe – die Bedrohungslage für Unternehmen verschärft sich laufend. Dieser kostenlose Report klärt auf, welche neuen Cyberrisiken und rechtlichen Pflichten Unternehmer jetzt kennen müssen, um sich langfristig abzusichern. Gratis-E-Book: Cyber Security Trends jetzt herunterladen

Der Vorfall legte den Betrieb dennoch lahm: Die NAIC setzte Investment-Zertifizierungen und Online-Rechnungszahlungen aus und arbeitet mit dem FBI zusammen.

Weltweite Bedrohung für kritische Infrastruktur

Die Mustang-Panda-Kampagne ist kein Einzelfall. Eine am 25. Juni 2026 veröffentlichte Studie von DomainTools zeigt einen besorgniserregenden Trend: Seit 2024 zielen staatlich unterstützte Gruppen aus Iran, Russland und China gezielt auf Wasser- und Abwassersysteme.

Die russische Gruppe Sandworm verursachte Anfang 2024 in Texas einen Tanküberlauf durch einen Hackerangriff. Chinesische Gruppen wie Volt Typhoon werden von US-Behörden beschuldigt, sich bereits Zugang für mögliche künftige Sabotageakte zu verschaffen. Ihre Methode: schwache Passwörter und ungeschützte programmierbare Steuerungen (PLCs).

Auch Europa ist betroffen. Die Russland-nahe Gruppe Turla setzt ihre Operationen gegen ukrainische Regierungs- und Militärziele fort. Laut Google Threat Intelligence Group nutzt Turla seit Ende 2022 das STOCKSTAY-Backdoor. In einer aktuellen Phishing-Welle gegen die Ukraine verwendete die Gruppe eine WinRAR-Sicherheitslücke (CVE-2025-8088). Gleichzeitig weitete sie ihre Aktivitäten auf Regierungsstellen in Deutschland, Polen und den Niederlanden aus.

de | wissenschaft | 69659435 |