Xiaoqiying/Genesis Day Threat Actor Group greift Südkorea und Taiwan an

Xiaoqiying (auch bekannt als Genesis Day, Teng Snake) ist eine hauptsächlich chinesisch sprechende Bedrohungsgruppe, die vor allem für ihre Angriffe bekannt ist, bei denen Ende Januar 2023 Websites von mehr als einem Dutzend südkoreanischer Forschungs- und akademischer Einrichtungen beschädigt und Daten exfiltriert wurden. Neue Forschungsergebnisse der Insikt Group von Recorded Future haben ergeben, dass die mit der Gruppe verbundenen Bedrohungsakteure in jüngster Zeit eine neue Runde von Cyberangriffen auf Organisationen in Japan und Taiwan signalisiert haben. Obwohl Xiaoqiying keine klaren Verbindungen zur chinesischen Regierung aufweist, ist das Land entschieden pro-chinesisch eingestellt und kündigt an, die NATO-Staaten sowie alle Länder und Regionen ins Visier zu nehmen, die als China gegenüber feindlich gelten.

Seit dem 25. Januar 2023 haben Open-Source-Berichte aus Südkorea einen von Xiaoqiying durchgeführten Massen-Cyberangriff auf Websites von zwölf südkoreanischen Forschungs- und Wissenschaftseinrichtungen während der Feiertage zum chinesischen Neujahrsfest enthüllt. Berichten der Korea Internet & Security Agency (KISA) zufolge wurden alle zwölf Websites beschädigt, indem die Angreifer die gehosteten Websites auf den kompromittierten Servern durch ihre eigenen ersetzten. KISA konnte außerdem feststellen, dass die mit dem Angriff in Verbindung stehenden IP-Adressen aus verschiedenen Ländern stammen, etwa aus China, den USA, Singapur und Taiwan. Laut einem Bericht der Korea Times (koreatimes.co.kr) gab die chinesische Bedrohungsgruppe auf ihrem öffentlichen Telegrammkanal bekannt, dass KISA zu ihren potenziellen Zielen zähle und dies die erste im Visier der Bedrohungsgruppe befindliche Regierungsbehörde sei. Anderen Berichten zufolge drohte die Bedrohungsgruppe damit, etwa 2.000 Regierungsbehörden anzugreifen, darunter auch das südkoreanische Ministerium für Kultur, Sport und Tourismus.

Unsere Analyse der Aktivität von Xiaoqiying auf Telegram basiert auf zwei Telegram-Einladungslinks, die wir Anfang Januar 2023 erhalten haben. Die Bedrohungsgruppe Genesis Day war bis Februar 2023 auf Telegram aktiv, als die Nachrichten über ihre mutmaßlichen Einbrüche die Medien erreichten. Anschließend gingen beide Telegram-Kanäle offline. Diese beiden Telegrammkanäle umfassten einen Ankündigungskanal und einen Mitgliederkanal und bestanden hauptsächlich aus chinesisch sprechenden Benutzern. Durch die Analyse der heruntergeladenen Daten identifizierten wir die Administratoren der Bedrohungsgruppe, die unter den Mitgliedern gemeinsam genutzten Tools und Daten, die von der Bedrohungsgruppe verwendeten Taktiken, Techniken und Verfahren (TTPs) sowie Verbindungen zu anderen cyberkriminellen Foren mit speziellem Zugriff und Bedrohungsakteuren. Darüber hinaus beurteilten wir die Glaubwürdigkeit der Angebote und prognostizierten das zukünftige Vorgehen der Gruppe.

Die am 31. Dezember 2022 von „Genesis Day“ gepostete Neujahrsbotschaft diente als Zusammenfassung der Aktivitäten der Gruppe im Jahr 2022 und als Aufruf zum Handeln für das Jahr 2023. Die englische Übersetzung finden Sie unten. (Quelle: Telegram)

„Im kommenden Jahr plant dieser Kanal, eine weitere Runde von Operationen gegen NATO-Mitglieder und damit verbundene Länder/Regionen zu starten, die China feindlich gesinnt sind, um das Netzwerk und die Infrastruktur dieser Länder lahmzulegen. Wir arbeiten aktiv mit unseren globalen Verbündeten und APT-Mitgliedern zusammen. Zu unseren Partnern zählen unter anderem APT 35, Corecode [sic], Anonymous, Lapsus, Hive, pakistanische APTs, russische APTs, Solitbit.ares [sic], Prynt Stealer, …. Eine Welt ohne China wäre eine bedeutungslose Welt. Wir versuchen lediglich, diesem Land seinen rechtmäßigen Platz zurückzugeben. Wir streben danach, zu Beginn dieser neuen Ära unsere Schwerter zu schwingen. Sie sind herzlich willkommen bei uns und erwarten uns …

Allen ein frohes neues Jahr"

Die Gruppe behauptete, für einige unbestätigte Cyberangriffe vor den bestätigten Einbrüchen gegen zahlreiche südkoreanische Organisationen im Januar und Februar 2023 verantwortlich zu sein. Aus diesem Grund bewerten wir die Glaubwürdigkeit als mittelmäßig. Das Unternehmen gab verfügbare Penetrationstest-Tools, Malware, Proofs of Concept und Exploits weiter, gab Daten preis und behauptete, mit einigen bekannten Cyberkriminellen- und APT-Gruppen auf der ganzen Welt zusammenzuarbeiten. Die Gruppe scheint ehrgeizig zu sein und rekrutiert aktiv Personen mit Hackerkenntnissen.

Aktuelle Postings der mit der Malware verbundenen Bedrohungsakteure in Foren mit speziellem Zugang zeigen, dass die Malware möglicherweise neue Ziele in Japan und Taiwan kompromittiert hat, und signalisieren eine neue Runde von Cyberangriffen gegen diese Länder. Wir empfehlen Organisationen, die möglicherweise von dieser Gruppe ins Visier genommen werden – insbesondere Bildungs-, Forschungs- und Regierungsorganisationen im asiatisch-pazifischen Raum –, ihre internetfähigen Geräte regelmäßig zu patchen und alle nicht benötigten Remote-Access-Tools zu deaktivieren.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.