Operation Hanoi Thief: Cyber-Spione missbrauchen Job-Bewerbungen

Eine hochprofessionelle Cyber-Spionage-Kampagne attackiert derzeit IT-Fachkräfte und Personalabteilungen in Vietnam. Die von Forschern der SEQRITE Labs aufgedeckte Operation nutzt extrem ausgefeilte Verschleierungstechniken, um Sicherheitssysteme zu umgehen – und verwandelt harmlos wirkende Bewerbungsunterlagen in digitale Waffen.

Die heute noch aktive Angriffswelle markiert eine gefährliche Eskalation: Cyberkriminelle instrumentalisieren gezielt den Recruiting-Prozess, um in Unternehmensnetzwerke einzudringen. Was macht diese Kampagne so bedrohlich? Und wie schützen sich Unternehmen vor dieser perfiden Masche?

Alles beginnt mit einer E-Mail, die auf den ersten Blick völlig legitim wirkt. Eine Bewerbung eines Software-Entwicklers namens “Le Xuan Son”, komplett mit Lebenslauf im ZIP-Archiv. Doch hinter der professionellen Fassade verbirgt sich ein ausgeklügelter Angriff.

Die Täter investierten erhebliche Zeit in die Vorbereitung: Sie schufen einen authentisch wirkenden GitHub-Account – bereits 2021, also Jahre vor dem eigentlichen Angriff. Das Profil blieb seitdem inaktiv, ein klares Indiz für langfristige Planung.

Viele Unternehmen sind für neue Angriffsformen wie Pseudo‑Polyglot‑Payloads schlecht vorbereitet. Ein aktueller Gratis-Report zeigt, warum 73 % der deutschen Firmen auf Cyberangriffe nicht ausreichend reagieren und welche schnellen Schutzmaßnahmen IT-Teams sofort umsetzen können. Praxistipps zu Erkennung ungewöhnlicher Prozesse (z. B. ftp.exe), Mitarbeiterschulungen für HR und Checklisten für Signatur-Updates helfen, das Risiko spürbar zu senken. Jetzt kostenloses Cybersecurity-E-Book herunterladen

Im ZIP-Archiv finden Opfer zwei Dateien: eine Windows-Verknüpfung mit dem Namen CV.pdf.lnk und eine Bilddatei eines angeblichen Zertifikats. Das vermeintlich harmlose PNG-Bild entpuppt sich als technisches Meisterstück: ein “Pseudo-Polyglot”, der gleichzeitig als gültiges Bild und als Träger für Schadcode funktioniert.

Leben von der Festplatte: Microsofts eigene Werkzeuge als Waffe

Die technische Raffinesse von Operation Hanoi Thief liegt in ihrer Unauffälligkeit. Statt verdächtige neue Programme zu installieren, missbrauchen die Angreifer legitime Windows-Bordmittel – eine Taktik namens “Living Off the Land”.

Der Infektionsprozess startet beim Klick auf die Verknüpfungsdatei. Diese aktiviert das Windows-Tool ftp.exe, um die Polyglot-Datei zu analysieren und versteckte Befehle zu extrahieren. “Die Angreifer verwenden einen Dateityp, den wir als Pseudo-Polyglot-Payload bezeichnen, um böswillige Absichten zu verbergen”, erklären die SEQRITE-Forscher in ihrem am 28. November veröffentlichten Bericht.

Das erlaubt dem Schadcode, sich vor Sicherheitsscannern zu tarnen, die lediglich ein harmloses Bild erkennen. Clever, oder? Die Malware versteckt sich buchstäblich im Sichtfeld.

Nach der Ausführung folgt ein DLL-Sideloading-Angriff: Das Skript platziert eine bösartige Datei namens MsCtfMonitor.dll und kopiert die legitime Windows-Anwendung ctfmon.exe in denselben Ordner. Wenn das vertrauenswürdige Microsoft-Tool startet, lädt es unwissentlich die kompromittierte Bibliothek – und öffnet den Angreifern Tür und Tor.

LOTUSHARVEST: Der digitale Erntehelfer

Das Endziel der komplexen Infektionskette heißt LOTUSHARVEST – ein maßgeschneiderter Datendieb. Die in C++ programmierte Malware konzentriert sich auf ein klares Ziel: Informationen abgreifen.

LOTUSHARVEST durchsucht gezielt Browser-Daten von Google Chrome und Microsoft Edge:

• Gespeicherte Passwörter werden mittels Windows-APIs entschlüsselt
• Browserverlauf der 20 zuletzt besuchten Websites liefert Verhaltensmuster
• Systeminformationen wie Computername und Benutzerkonto identifizieren das Opfer

Die gesammelten Daten werden als JSON-Paket über verschlüsselte HTTPS-Verbindungen an Server der Angreifer übermittelt, darunter die Domain eol4hkm8mfoeevs.m.pipedream.net.

Recruiting als Einfallstor: Ein globales Problem

Der Angriff auf Personalabteilungen folgt einer besorgniserregenden Logik: HR- und IT-Teams öffnen täglich Anhänge unbekannter Absender – das gehört zu ihren Aufgaben. Genau diese berufliche Notwendigkeit nutzen die Kriminellen aus.

Zwar konzentriert sich die Kampagne aktuell auf Vietnam, doch die verwendeten Techniken sind weltweit relevant. SEQRITE Labs stellte Ähnlichkeiten mit bekannten chinesischen Hackergruppen fest, kann aber keine direkte staatliche Beteiligung nachweisen. Die Verwendung eines spezialisierten “Stealers” statt einer vollwertigen Backdoor wie der berüchtigten PlugX-Malware deutet auf eine Spionage- statt Sabotage-Mission hin.

“Die Kampagne verdeutlicht die wachsende Raffinesse von Social-Engineering-Angriffen”, kommentieren Sicherheitsexperten. “Der Einsatz jahrelang inaktiver Social-Media-Profile zur Untermauerung falscher Identitäten entspricht dem Vorbereitungsniveau staatlicher Akteure.”

Was kommt als Nächstes?

Aktuell scheint die Kampagne hauptsächlich auf Südostasien beschränkt. Doch Cybersecurity-Experten warnen: Der Erfolg der “Pseudo-Polyglot”-Technik könnte andere Hackergruppen zur Nachahmung animieren.

Unternehmen sollten ihre Erkennungs- und Reaktionssysteme anpassen, um ungewöhnliche Aktivitäten von ftp.exe zu markieren. Für Personalabteilungen gilt eine klare Empfehlung: Jede externe Bewerbung als potenzielle Bedrohung behandeln – insbesondere ZIP-Archive statt standardmäßiger PDF- oder Word-Dokumente.

Sicherheitsanbieter werden in den kommenden Tagen aktualisierte Signaturen zur Erkennung von LOTUSHARVEST bereitstellen. Die modulare Struktur des Angriffs ermöglicht den Tätern jedoch schnelle Anpassungen. Verhaltensbasierte Erkennung statt dateibasiertes Blockieren wird daher zur entscheidenden Verteidigungslinie.

PS: Wenn Sie verhindern wollen, dass Bewerbungsanhänge zum Einfallstor werden, lohnt sich der kostenlose E‑Book-Report „Cyber Security Awareness Trends“. Er liefert konkrete Handlungsempfehlungen für Geschäftsführer und IT-Verantwortliche — von verhaltensbasierten Erkennungsregeln bis zu schnellen Schulungsmaßnahmen für HR‑Teams. Ideal für Unternehmen, die ihre Abwehr ohne großen Aufwand stärken möchten. Gratis E‑Book „Cyber Security Awareness Trends“ anfordern