APT36: Neue Cyber-Spionage-Kampagne nutzt getarnte Windows-Dateien

Pakistanische Hacker greifen mit raffinierter LNK-Methode indische Behörden an – deutsche Unternehmen sollten wachsam sein.

Eine hochentwickelte Cyber-Spionagekampagne des pakistanischen Bedrohungsakteurs APT36 hat diese Woche Sicherheitsexperten alarmiert. Die Angreifer zielen mit präzisen Spear-Phishing-Attacken auf indische Regierungs- und Verteidigungseinrichtungen ab. Ihr neuestes Werkzeug: manipulierte Windows-Verknüpfungsdateien (LNK), die schädliche fileless Malware einschleusen. Die zwischen dem 31. Dezember und 2. Januar veröffentlichten Analysen zeigen eine gefährliche Weiterentwicklung der Taktiken der Gruppe, die traditionelle Sicherheitsvorkehrungen umgeht.

Die Täuschung mit der doppelten Dateiendung

Laut dem Cybersecurity-Unternehmen CYFIRMA beginnt die Angriffskette mit gezielten E-Mails, die offizielle Kommunikation vortäuschen. Im Anhang tragen sie ZIP-Archive mit Namen wie “Online JLPT Exam Dec 2025.zip”. Darin verbirgt sich scheinbar ein PDF-Dokument – tatsächlich handelt es sich jedoch um eine schädliche LNK-Datei mit doppelter Endung (z.B. .pdf.lnk).

Der Clou: Die Angreifer erhalten den Anschein der Legitimität aufrecht. Während normale Verknüpfungsdateien nur Kilobyte groß sind, überschreiten diese manipulierten LNKs die 2-MB-Marke. Die Hacker haben komplette PDF-Strukturen und Bilder in die Verknüpfungsdatei eingebettet. Diese “Auffüll”-Technik sorgt dafür, dass die Dateigröße einem echten Dokument entspricht und arglose Nutzer täuscht.

Spear‑Phishing per manipulierten .lnk‑Anhängen ist aktuell eine der effektivsten Angriffsmethoden — klassische AV‑Tools reichen oft nicht. Das kostenlose Anti‑Phishing‑Paket erklärt in einer praxiserprobten 4‑Schritte‑Anleitung, wie Sie Phishing‑E‑Mails erkennen, E‑Mail‑Gateways härten und CEO‑Fraud verhindern. Praxisnahe Checklisten und Trainingsvorlagen helfen IT‑Leitern und Sicherheitsteams, kurzfristig Schutzmaßnahmen umzusetzen. Anti‑Phishing‑Paket kostenlos herunterladen

Fileless Malware nutzt Windows-eigene Tools

Wird die Datei ausgeführt, öffnet sie keinen PDF-Reader. Stattdessen missbraucht sie das legitime Windows-Tool mshta.exe, um ein fernes HTA-Skript (HTML Application) nachzuladen und auszuführen. Diese “Living off the Land”-Technik (LotL) erlaubt es den Angreifern, schädlichen Code mit vertrauenswürdigen Systemprogrammen auszuführen. So entgehen sie der Entdeckung durch Standard-Antivirensoftware.

Die eigentliche Malware arbeitet anschließend speicherresident (fileless). Das HTA-Skript entschlüsselt im Arbeitsspeicher zwei Nutzlast-Blöcke (“ReadOnly” und “WriteOnly”) mit eigenen Base64- und XOR-Algorithmen. Das finale Payload ist ein .NET-basierter Remote Access Trojaner (RAT), der eine Verbindung zur Command-and-Control-Infrastruktur (C2) der Hacker aufbaut. Dieser Trojaner gewährt persistenten Fernzugriff, ermöglicht das Abgreifen sensibler Dateien, das Erstellen von Screenshots und die Überwachung der Zwischenablage.

Zielgerichtete Angriffe auf sensible Sektoren

Die Kampagne passt zum historischen Fokus von APT36, auch bekannt als Transparent Tribe. Die Gruppe ist seit langem für Cyber-Spionage gegen indische Militär-, Diplomatie- und Bildungseinrichtungen bekannt. Die aktuellen Köder sind speziell auf Regierungsmitarbeiter und Verteidigungspersonal zugeschnitten.

Neben prüfungsbezogenen Themen nutzen die Hacker auch Köderdokumente zu Sicherheitswarnungen, wie eine “NCERT-Whatsapp-Advisory.pdf.lnk”. Das Ziel ist ironischerweise, die Zielpersonen mit einem Dokument über Cyber-Bedrohungen selbst zu infizieren. Das primäre Ziel bleibt die Nachrichtenbeschaffung, wobei der Trojaner gezielt Office-Dokumente und PDFs stiehlt, die geheime oder sensible Staatsinformationen enthalten können.

Was bedeutet das für deutsche Unternehmen?

Der Wechsel zu LNK-Dateien markiert eine taktische Anpassung von APT36. Da Microsoft Makros in Office-Dokumenten zunehmend einschränkt, suchen Bedrohungsakteure nach alternativen Einstiegspunkten. Diese Kampagne unterstreicht die wachsende Gefahr durch fileless Malware, auch im Bereich der staatlich geförderten Spionage.

Für deutsche Unternehmen, besonders in sensiblen Branchen oder mit internationalen Verbindungen, ist dies eine Warnung. Die Techniken könnten adaptiert werden. Sicherheitsteams wird geraten:
* E-Mail-Gateways so zu konfigurieren, dass LNK-Anhänge blockiert werden.
* Ungewöhnliche Netzwerkaktivitäten von mshta.exe zu überwachen.
* Mitarbeiter für die Gefahr von doppelten Dateiendungen zu sensibilisieren.

Experten prognostizieren, dass APT36 diese Techniken weiter verfeinern und möglicherweise legitime Cloud-Dienste für ihre C2-Kommunikation nutzen wird. Die Entwicklung zeigt: Cyber-Bedrohungen werden nicht nur komplexer, sie passen sich auch schnell an neue Sicherheitsvorkehrungen an.

PS: Diese LNK‑ und mshta‑Techniken frühzeitig enttarnen — das Anti‑Phishing‑Paket bietet branchenspezifische Einordnungen, psychologische Analysen der Köder und konkrete Gegenmaßnahmen für Mitarbeiter‑Schulungen. Die Schritt‑für‑Schritt‑Checkliste hilft, E‑Mail‑Gateways zu konfigurieren, Phishing‑Simulationsläufe zu planen und LotL‑Angriffe zu stoppen. Holen Sie sich das Gratis‑Paket und setzen Sie sofort umsetzbare Maßnahmen um. Jetzt Anti‑Phishing‑Paket anfordern