OilAlpha: Eine wahrscheinlich pro-Houthi-Gruppe, die Unternehmen auf der gesamten Arabischen Halbinsel ins Visier nimmt

Seit Mai 2022 verfolgt die Insikt Group eine laufende Kampagne der Bedrohungsgruppe OilAlpha. Wir verknüpfen diese mit Bedrohungsakteuren, die wahrscheinlich eine pro-Houthi-Bewegung unterstützen.

Es ist sehr wahrscheinlich, dass die Gruppe gezielt Organisationen ins Visier genommen hat, die mit den Bereichen Nichtregierungsorganisationen, Medien, internationale humanitäre Hilfe und Entwicklung in Verbindung stehen. Es ist nahezu sicher, dass die angegriffenen Organisationen ein gemeinsames Interesse am Jemen sowie an Fragen der Sicherheit, humanitären Hilfe und des Wiederaufbaus hatten. Zu den Aktivitäten der Gruppe gehörten Berichten zufolge gezielte Angriffe auf Teilnehmer von Verhandlungen unter Führung der saudi-arabischen Regierung. Zudem wurden gefälschte Android-Anwendungen eingesetzt, die mit der saudi-arabischen Regierung verbundene Unternehmen und (unter anderem) eine humanitäre Organisation aus den VAE imitierten. Zum Zeitpunkt des Verfassens dieses Artikels vermuten wir, dass die Angreifer es auf Personen abgesehen hatten, zu denen die Houthis direkten Zugriff haben wollten.

Berichten zufolge wurden von saudi-arabischen Telefonnummern aus Nachrichten an Ziele gesendet (Quelle: Meta 1, 2, 3)

OilAlpha stützte sich fast ausschließlich auf die Infrastruktur der Public Telecommunication Corporation (PTC), einem staatlichen Unternehmen im Jemen, das Berichten zufolge direkt von den Huthi-Behörden kontrolliert wird. OilAlpha nutzte verschlüsselte Chat-Messenger wie WhatsApp, um Social-Engineering-Angriffe gegen seine Ziele zu starten. Es wurden auch URL-Link-Verkürzer verwendet. Laut viktimologischer Analyse waren die meisten der angegriffenen Personen offenbar Arabisch sprechend und bedienten Android-Geräte.

Es ist sehr wahrscheinlich, dass die Bedrohungsakteure von OilAlpha in Spionageaktivitäten verwickelt sind, da Handheld-Geräte mit Remote-Access-Tools (RATs) wie SpyNote und SpyMax angegriffen wurden. Wir haben außerdem beobachtet, dass njRAT-Samples mit C2s kommunizieren, die dieser Gruppe zugeordnet sind. Daher ist es wahrscheinlich, dass OilAlpha andere Schadsoftware für Test- oder Angriffsoperationen verwendet hat.

Sofern keine neuen Informationen ans Licht kommen oder es zu größeren geostrategischen Veränderungen kommt, wird OilAlpha voraussichtlich auch weiterhin bösartige Android-basierte Anwendungen einsetzen, um Organisationen ins Visier zu nehmen, die ein Interesse an der politischen und sicherheitspolitischen Entwicklung des Jemen haben, sowie den im Jemen tätigen humanitären und NGO-Sektor.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.