Sicherheitsforscher von Eset haben eine Spionagekampagne einer chinesischen Hackergruppe namens The Wizards aufgedeckt, bei der die Angreifer ein IPv6-Feature missbrauchen, um Datenverkehr aus fremden Netzwerken über eigene Server umzuleiten und manipulierte Softwareupdates zu verbreiten. Wie die Forscher in einem Blogbeitrag erklären, komme dabei ein Tool namens Spellbinder zum Einsatz, das sogenannte AitM-Angriffe (Adversary in the Middle) ermögliche.

Mit Spellbinder lassen sich demnach IPv6-Konfigurationen spoofen, die normalerweise automatisch über eine Methode namens SLAAC (Stateless Address Autoconfiguration) zugewiesen werden. Durch die manipulierten Netzwerkkonfigurationen leiten die Angreifer sämtlichen Datenverkehr über eigene Server und verbreiten dadurch mit Malware verseuchte Updates.

Die Angriffsaktivitäten von The Wizards beobachten die Eset-Forscher nach eigenen Angaben schon seit 2022. Damals wurden sie auf die Verbreitung einer verdächtigen DLL über Updates für eine beliebte chinesische Software namens Sogou Pinyin aufmerksam. Darin sei ein Dropper für einen Downloader enthalten gewesen, der wiederum eine Backdoor namens Wizardnet heruntergeladen habe, erklären die Forscher.
Angriffsvektor seit Jahren bekannt
In einem englischsprachigen Blogbeitrag gehen die Forscher bezüglich ihrer Beobachtungen der letzten Jahre noch weiter ins Detail und nennen mehrere Domains, deren Datenverkehr durch Spellbinder über die Systeme der Angreifer geleitet werden. Dazu zählen unter anderem solche von chinesischen Marken, die auch hierzulande bekannt sind, wie etwa Tencent, Baidu, Kingsoft und Xiaomi.