Die Welt der Cyberspionage ist geprägt von Unsichtbarkeit, Geduld und technischer Raffinesse. Eine Gruppe, die diese Merkmale in beunruhigender Präzision vereint, ist BladedFeline – eine bisher wenig bekannte, iranisch ausgerichtete APT-Gruppe, die nachweislich seit mindestens 2017 aktiv ist. ESET-Forscher haben BladedFeline im Zuge ihrer APT-Überwachung näher untersucht und dabei eine ausgeklügelte Kampagne aufgedeckt, die sich gegen hochrangige kurdische und irakische Regierungsstellen sowie ein Telekommunikationsunternehmen in Usbekistan richtete.

Das Ziel: Langfristiger Zugang auf höchster Ebene

BladedFeline verfolgt klar erkennbare Spionageziele: Der Fokus liegt auf dem Zugang zu vertraulichen Informationen hochrangiger politischer Einrichtungen im Nahen Osten. Besonders im Visier stehen die Kurdistan Regional Government (KRG), die Regierung des Irak (GOI) sowie kritische Infrastruktur in Usbekistan.

Erstmals beobachteten wir die Aktivitäten der Gruppe im Jahr 2023, als sie gezielt kurdische Diplomaten mit einer Schadsoftware namens Shahmaran kompromittierte. Diese 64-Bit-Backdoor – benannt nach einer mythologischen Gestalt aus der iranischen Folklore – stellt den Ursprungspunkt einer ganzen Reihe raffinierter Malware-Werkzeuge dar, die wir in unserer Untersuchung dokumentieren.

Zeitleiste

21.09.2017 ● VideoSRV-Reverse-Shell auf dem KRG-System | 30.01.2018 ● RDAT-Backdoor auf dem KRG-System | 09.07.2019 ● Custom Plink auf dem KRG-System | 01.05.2021 ● Sheep Tunneler auf dem KRG-System | 23.01.2023 ● LSASS auf dem KRG-System | 01.02.2023 ● Shahmaran-Backdoor auf dem KRG-System | 2023-03-25 ● Erstes Opfer bei einem Telekommunikationsunternehmen in Usbekistan | 2023-06-12 ● Shahmaran Version 2 auf KRG-System zur Zugangswartung | 2023-12-14 ● BladedFeline-Operatoren führen CLI-Befehle auf KRG-System aus | 2023-12-16 ● Slippery Snakelet Backdoor auf KRG-System | 2023-12-20 ● P.S. Olala (ein PowerShell-Executor) auf dem KRG-System | 2023-12-20 ● PsExec auf dem KRG-System | 2024-01-07 ● Whisper-Backdoor auf dem KRG-System | 2024-02-01 ● Laret-Reverse-Tunnel auf dem KRG-System | 2024-02-20 ● Pinar-Reverse-Tunnel auf dem KRG-System | 2024-02-29 ● PrimeCache bösartiges IIS-Modul auf VirusTotal hochgeladen | 2024-03-11 ● Whisper Version 2, Flog und Hawking Listener auf VirusTotal hochgeladen

Der Werkzeugkasten: Von Whisper bis PrimeCache

Die Kampagne, die ESET im Jahr 2024 aufdeckte, demonstriert BladedFelines fortlaufende Weiterentwicklung ihrer Malware. Besonders bemerkenswert:

1. Whisper – Backdoor via Microsoft Exchange

Whisper ist ein in C#/.NET entwickeltes Backdoor, das kompromittierte Webmail-Konten auf Microsoft Exchange nutzt, um über E-Mail-Anhänge mit den Angreifern zu kommunizieren. Es überprüft Inbox-Regeln, erstellt automatische Weiterleitungen und verschlüsselt sämtliche Befehle und Daten mithilfe von AES und Base64. Die Kommunikation erfolgt dabei vollständig über legitime Mailserver – ein Paradebeispiel für „Living off the Land“.

2. PrimeCache – IIS-Modul mit getarnter Kommunikation

PrimeCache ist ein passives Backdoor-Modul für Microsoft IIS-Server. Es verarbeitet nur gezielt strukturierte Anfragen mit bestimmten Cookies und exfiltriert Daten über HTTP-Antworten. Die Verwendung von modularen Befehlsabläufen, verschlüsselter Übertragung und der Einsatz statisch gelinkter Kryptobibliotheken machen es besonders schwer zu entdecken. Auffällig: Code-Ähnlichkeiten mit dem RDAT-Backdoor der bekannten APT-Gruppe OilRig.

3. Laret und Pinar – Reverse-Tunnel für verdeckten Zugriff

Diese in C# geschriebenen Werkzeuge ermöglichen verschlüsselten Zugriff über SSH-Tunneling. Die Konfiguration erfolgt über verschleierte Konfigurationsdateien, in denen Verbindungen zu C&C-Servern aufgebaut und lokales Port-Forwarding initiiert werden kann.

Weitere Tools im Arsenal

BladedFeline setzt neben den oben genannten Hauptkomponenten auch eine Reihe unterstützender Tools ein, darunter:

  • Flog: Webshell für Dateioperationen und Kommandoausführung
  • Slippery Snakelet: Python-basierter Backdoor mit einfachen C&C-Kommandos
  • Hawking Listener: .NET-basiertes Command-Execution-Tool via HTTP
  • P.S. Olala: PowerShell-Executor mit persistenter Dienst-Registrierung
  • Sheep Tunneler: Custom Tool für Netzwerk-Tunneling oder Callbacks
  • Whisper Protocol: Dropper für Whisper, inklusive Persistenz über Windows-Startup

Diese Werkzeuge sind über Jahre hinweg gezielt weiterentwickelt worden – meist mit timestomped Zeitstempeln, auffälligen PDB-Pfaden, und zum Teil rudimentären englischen Variablenbezeichnungen, was auf einen iranischen Ursprung schließen lässt.

Weitere Informationen finden Sie im englischsprachigen Original-Blogpost.