Spionagekampagne, GoSerpent

Spionagekampagne GoSerpent: RAT stiehlt Polizeiakten in Südostasien

Veröffentlicht: 17.07.2026 um 16:08 Uhr, Redaktion boerse-global.de

Hochentwickelte Schadsoftware GoSerpent kompromittiert seit Jahren Regierungsnetze in Südostasien und stiehlt sensible Akten.

GoSerpent-Malware: Gezielte Spionage gegen Südostasien seit 2021
Glühender, schlangenförmiger Datenstrom umwickelt abstrakte Regierungsgebäude, symbolisiert Cyber-Bedrohung für südostasiatische Nationen. Illustration mit AI erstellt übermittelt durch boerse-global.de

Eine komplexe Spionagekampagne mit der Schadsoftware GoSerpent bedroht seit 2021 staatliche Einrichtungen in Südostasien. Die Angreifer stehlen gezielt sensible Daten – darunter biometrische Informationen und Polizeiakten.

Sicherheitsforscher haben eine seit Jahren aktive Spionagekampagne aufgedeckt, die sich gegen Regierungs- und Diplomatieeinrichtungen in Südostasien richtet. Die Angreifer nutzen eine hochentwickelte Schadsoftware namens GoSerpent, die in der Programmiersprache Go geschrieben ist. Wie aus am 17. Juli 2026 veröffentlichten Berichten hervorgeht, läuft die Operation bereits seit mindestens 2021.

Die Entwicklung der GoSerpent-Kampagne

Erstmals identifizierten Kaspersky-Forscher die Hintertür im Februar 2026. Doch die Malware ist älter: Erste Aktivitäten reichen bis ins Jahr 2021 zurück. Eine neue Angriffswelle begann Ende 2025 und weitete sich im Mai 2026 deutlich aus.

Das Werkzeugarsenal der Hacker ist beeindruckend. Im Kern handelt es sich um einen sogenannten Remote Access Trojan (RAT) – eine Fernzugriffssoftware, die es Angreifern erlaubt, infizierte Systeme zu kontrollieren. Die Kommunikation mit den Kommando-Servern ist durch starke Verschlüsselung (AES-CBC und ChaCha20) geschützt. Diese Server laufen auf Infrastruktur von Alibaba Cloud und UCLOUD in Hongkong.

Technische Taktiken und Datendiebstahl

Die Infektionskette ist mehrstufig und zielt auf ganz bestimmte Dateitypen ab: Word-Dokumente, PDFs und Excel-Tabellen. Ein spezielles Modul namens ThumbcacheService automatisiert den Diebstahl. Es durchsucht Systemverzeichnisse und sogar den Papierkorb, packt die gefundenen Dokumente in ein passwortgeschütztes 7-Zip-Archiv und tarnt es unter einem harmlosen Dateinamen.

Anzeige

Angesichts immer komplexerer Spionage-Szenarien und neuer gesetzlicher Anforderungen müssen Unternehmen ihre IT-Sicherheit heute proaktiv stärken. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken entdecken

Um sich im Netzwerk auszubreiten, setzen die Angreifer bekannte Tools zum Diebstahl von Anmeldedaten ein – darunter Mimikatz und QuarksDumpLocalHash. Damit erbeuten sie Passwort-Hashes und Klartext-Zugangsdaten aus kompromittierten Systemen.

Geduld als Taktik: Datenabfluss im Verborgenen

Im Mai 2026 verfeinerten die Angreifer ihre Methoden. Sie setzten nun Stowaway ein – ein quelloffenes Proxy- und RAT-Tool – sowie einen eigenen Lader mit der Bezeichnung TmcLoader und die Nutzlast TmcPayload.

Besonders bemerkenswert ist die Geduld der Gruppe. Oft warten die Hacker Wochen nach der Erstinfektion, bevor sie Daten aus dem Netzwerk schaffen. Statt klassischer Web-Exfiltration, die Sicherheitssysteme alarmieren würde, nutzen sie gestohlene Zugangsdaten. So verschieben sie die Dateien über interne Netzwerkfreigaben – und tarnen die bösartige Aktivität als legitimen Netzwerkverkehr.

Anzeige

Der Diebstahl sensibler Dokumente durch getarnte Malware zeigt, wie wichtig ein fundierter Schutz vor Cyberangriffen für jede Organisation ist. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlose Cyber-Security Checkliste herunterladen

Mögliche Urheber und betroffene Daten

Sicherheitsexperten sehen Parallelen zur Gruppe TetrisPhantom. Der Fokus auf hochrangige Regierungsziele und die geografische Konzentration auf Südostasien passen zum historischen Profil dieser Akteure.

Die Kampagne hat bereits umfangreiche Datensätze kompromittiert – darunter Polizeiakten und diplomatische Korrespondenz. Kaspersky hat eine liste mit Kompromittierungsindikatoren (IOCs) veröffentlicht. Damit können Organisationen in der Region mögliche GoSerpent-Infektionen in ihren Netzwerken erkennen und abwehren.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69787807 |