Die Malware-Kampagne „XRed“ zielt auf multinationale Unternehmen ab

10. Dezember 2025

Von Samantha Clarke, Hiwot Mendahun, Ankit Gupta und dem Mimecast Threat Research Team

Kampagnenübersicht

Das Mimecast Threat Research-Team hat eine andauernde Malware-Kampagne aufgedeckt, bei der gefälschte Dienstmitteilungen verwendet werden, die vorgeben, von der Einkommensteuerbehörde der indischen Regierung zu stammen. Die Organisationen, auf die es abzielt, umfassen in erster Linie indische Tochtergesellschaften und haben ihren Hauptsitz im Vereinigten Königreich oder in den USA. Die Analyse zeigt, dass die Angreifer eine ausgefeilte Zielauswahl betreiben und sich dabei auf mittelgroße bis große Unternehmen (in der Regel mit mehr als 1.000 Mitarbeitern) in B2B-Branchen konzentrieren, insbesondere auf Finanzdienstleistungen, professionelle Dienstleistungen und Unternehmensverwaltung.

Diese Kampagne, die seit Oktober 2025 läuft, bedient sich Social-Engineering-Taktiken, die darauf abzielen, die Dringlichkeit im Zusammenhang mit der Einhaltung steuerlicher Vorschriften und möglichen Strafen auszunutzen. Die Empfänger erhalten E-Mails mit Links, über die sie die verschiedenen Steuerverstöße des Unternehmens einsehen können.

Wichtige E-Mail-Attribute

• Infrastruktur in Japan: Die E-Mails stammen von IP-Adressen, die mit japanischen autonomen Systemnummern verknüpft sind, was auf kompromittierte Systeme oder bewusste Infrastrukturentscheidungen hindeutet, um regionale Sicherheitskontrollen zu umgehen.
• Veraltete E-Mail-Clients: Aus den E-Mail-Headern geht die Verwendung von Foxmail und veralteten Versionen von Microsoft Outlook hervor (erkennbar an den X-Mailer-Werten), was dazu beitragen kann, moderne E-Mail-Sicherheitskontrollen zu umgehen, die auf aktuelle Bedrohungsmuster ausgerichtet sind.
• Schemalose URLs: Bösartige Links erscheinen manchmal ohne Standard-URL-Schemas (ohne ", http://," oder ", https://,"), wodurch sie möglicherweise grundlegende URL-Filtermechanismen umgehen können.
• Unauthentifiziertes Versenden: Die Nachrichten stammen von Mail-Servern, die keine Authentifizierung erfordern – eine Eigenschaft, die zwar das Spoofing erleichtert, aber auch Möglichkeiten zur Erkennung bietet.

Sobald der Nutzer auf den Link klickt, wird er auf die folgende Seite weitergeleitet, die wie offizielle Mitteilungen der Regierung gestaltet ist.

Diese Seiten enthalten sowohl Texte in Hindi als auch in Englisch und beziehen sich auf § 271 Abs. 1 Buchstabe c des Einkommensteuergesetzes, der sich auf Strafen für die Verschleierung von Einkünften oder die Angabe unrichtiger Angaben bezieht. Die Mitteilung fordert die Übermittlung von Dokumenten innerhalb von 72 Stunden und enthält eine Schaltfläche mit dem Text „ "“ („Dokumente herunterladen“) sowie den Link „" “, die als erster Infektionsvektor dient.

Technische Infektionskette

Wenn Opfer auf die Schaltfläche „ "“ („Dokumente herunterladen“) unter" klicken, laden sie unwissentlich eine schädliche VBS-Datei (Visual Basic Script) herunter, die in der Regel den Namen „ "Tax Penalty Notice.vbs“ trägt." Bei der Ausführung stellt dieses Skript eine Verbindung zu einem Remote-Server her und lädt eine ausführbare Datei von einer verdächtigen Domain herunter. Auf der Grundlage einer Analyse der Befehls- und Kontrollinfrastruktur scheint eine der beobachteten Kampagnen mit der Malware-Familie „Xred“ in Verbindung zu stehen.

Wenn ein Empfänger die schädliche VBS-Datei öffnet, wird dem Benutzer eine Sicherheitswarnung angezeigt, in der er gefragt wird, ob er die Datei weiterhin öffnen möchte; setzt der Benutzer den Vorgang fort, wird das Skript automatisch ausgeführt, ohne dass eine weitere Benutzeraktion erforderlich ist.

Das Skript versucht zunächst, sich selbst in einem versteckten Fenster neu zu starten, um einer Entdeckung zu entgehen, und stellt so sicher, dass seine Aktivitäten für den Benutzer unsichtbar bleiben. Bei der Initialisierung erstellt das Skript ein Verzeichnis unter C:\SystemUpdates, sofern dieses noch nicht vorhanden ist. Alle nachfolgenden Vorgänge werden in der Datei „C:\SystemUpdates\update_log.txt“ protokolliert, einschließlich der Start- und Endzeiten der Skriptausführung. Dieser Protokollierungsmechanismus verschafft den Angreifern Einblick in erfolgreiche Infektionen und kann bei der Fehlerbehebung bei fehlgeschlagenen Installationsversuchen helfen.

Nachdem die Skriptausführungsumgebung eingerichtet wurde, fügt das Skript eine zufällige Verzögerung zwischen 8 und 15 Sekunden ein. Diese Verzögerung dient als Technik zur Umgehung von Analysen und ermöglicht es möglicherweise, automatisierte Sandbox-Umgebungen zu umgehen, die innerhalb kurzer Analysefenster ein sofortiges bösartiges Verhalten erwarten. Nach Ablauf der Verzögerungszeit erstellt das Skript einen PowerShell-Befehl und führt diesen aus, um eine ausführbare Datei von der Remote-Adresse https://googlevip.shop/216.250.104.166ClientSetup[.]exe herunterzuladen.

Die heruntergeladene Datei wird lokal unter dem Pfad „C:\SystemUpdates\216.250.104.166ClientSetup[.]exe“ gespeichert. Wenn der Download erfolgreich abgeschlossen wurde und die Datei auf dem lokalen System vorhanden ist, führt der PowerShell-Befehl die Nutzlast im Hintergrund aus, wodurch jegliche Benachrichtigungen an den Benutzer oder Einwilligungsdialoge verhindert werden. Eine der beobachteten Kampagnen scheint mit der Malware „XRed“ in Verbindung zu stehen, deren Hauptfunktion darin besteht, als Trojaner-Backdoor zu fungieren; sobald ein System infiziert ist, kann XRed zahlreiche böswillige Aktivitäten ausführen

• Datenexfiltration: Dabei werden sensible Systeminformationen (z. B. Benutzername, MAC-Adresse, Computername) erfasst und an den Angreifer übermittelt.
• Keylogging: Dabei werden Tastenanschläge aufgezeichnet, um Zugangsdaten für E-Mail-, Social-Media-, Bank- und Kryptowährungskonten zu stehlen.
• Fernsteuerung: Der Angreifer kann aus der Ferne verschiedene Befehle ausführen, darunter das Erstellen von Screenshots, den Zugriff auf die Befehlszeile sowie das Auflisten, Herunterladen oder Löschen von Dateien.
• Persistenz: Die Software nutzt Registrierungsschlüssel und versteckte Verzeichnisse (wie beispielsweise C:\ProgramData\Synaptics\), um eine dauerhafte Präsenz auf dem System aufrechtzuerhalten.
• Zusätzliche Schadcode-Komponenten: Es kann andere Arten von Malware auf den kompromittierten Rechner herunterladen und dort installieren

Mimecast-Schutz

Das Mimecast Threat Research-Team hat im Rahmen dieser Kampagne mehrere Merkmale identifiziert und diese in unsere Erkennungsfunktionen integriert. Wir beobachten weiterhin Veränderungen in der Infrastruktur und die Weiterentwicklung der Techniken, da die Angreifer ihre Vorgehensweisen anpassen.

Ziele

Hauptregion: Indien oder vorwiegend Unternehmen aus Großbritannien und den USA, die über eine Niederlassung in Indien verfügen. Nicht zufällige Auswahl mit konsequenter Ausrichtung auf mittelgroße bis große Unternehmen (ab 1.000 Mitarbeitern), die in mehreren Rechtsräumen tätig sind.
Betroffene Branchen: Zahlreiche Branchen, wobei eine besonders hohe Konzentration in den Bereichen Finanzdienstleistungen, freiberufliche Dienstleistungen (Wirtschaftsprüfung, Rechtsberatung, Unternehmensberatung), Unternehmensverwaltung, Lieferkette/Logistik sowie im verarbeitenden Gewerbe zu verzeichnen ist. Die Kampagne richtet sich vor allem an B2B-orientierte Unternehmen mit komplexen Lieferanten-Ökosystemen und grenzüberschreitenden Geschäftsaktivitäten.

Indikatoren für eine Kompromittierung (IOCs)

E-Mail-Adressen der Absender

• urabe@kcc.zaq.ne.jp
• hase.3@jcom.zaq.ne.jp
• akomai@jcom.zaq.ne.jp
• servant@jcom.zaq.ne.jp
• sho552004@jcom.zaq.ne.jp

Schädliche Dateien

• Hash (im Zusammenhang mit Xred): 0447426535047cae9870c99e8b66d8030c9b1492856445ef630c9c07a3fb42da
• Hash: 5178a2e904e239eb02b836227e48c0a99b02031a91136395a6c70a81d0ef3ee1

Schädliche Domains

• googlevip[.]shop/
• dadasf[.]qpon/
• googleaxc[.]shop/
• googlem[.]com/

Empfehlungen

Sicherheitsbewusstsein der Benutzer

• Klären Sie die Nutzer über die zunehmende Verbreitung von Betrugsfällen auf, bei denen sich Betrüger als Behörden ausgeben, und weisen Sie dabei besonders darauf hin, dass seriöse Steuerbehörden in der Regel keine dringenden Zahlungs- oder Dokumentenanforderungen per E-Mail mit herunterladbaren Anhängen versenden.
• Überprüfungsprotokolle: Legen Sie klare Verfahren fest , nach denen Mitarbeiter verdächtige Mitteilungen von Behörden über offizielle Kanäle überprüfen müssen, bevor sie Maßnahmen ergreifen.
• Regionales Bewusstsein: Führen Sie für Unternehmen, die in Indien tätig sind, gezielte Schulungen zu den Kommunikationsmethoden der lokalen Steuerbehörden und zu gängigen Betrugsmaschen durch. Unternehmen, die dem Zielprofil entsprechen (mittelgroße bis große Unternehmen mit indischen Tochtergesellschaften im Finanz- oder Dienstleistungssektor), sollten Sensibilisierungsschulungen für Mitarbeiter aus den Bereichen Finanzen und Compliance, die Einblick in die Geschäftstätigkeit der indischen Tochtergesellschaften haben, Priorität einräumen.

Proaktive Bedrohungssuche

• Analyse der E-Mail-Protokolle: Durchsuchen Sie die Protokolle der eingegangenen E-Mails nach Nachrichten, die von den identifizierten Absenderdomänen und E-Mail-Adressen stammen, insbesondere nach solchen, die an Mitarbeiter der Bereiche Finanzen, Compliance oder Betrieb gerichtet sind, die für indische Unternehmenseinheiten zuständig sind.
• URL-Protokollanalyse: Durchsuchen Sie die URL-Protokolle nach technischen Indikatoren, die mit diesen Kampagnen in Zusammenhang stehen

Unternehmen, die in Indien tätig sind oder Geschäfte mit Indien tätigen, sollten weiterhin wachsam gegenüber ähnlichen Kampagnen bleiben und sicherstellen, dass ihre Sicherheitsmaßnahmen geografisch gezielte Bedrohungen berücksichtigen, die regionenunabhängige Erkennungsmethoden möglicherweise umgehen können. Unternehmen mit mehr als 1.000 Mitarbeitern und umfangreichen Geschäftsaktivitäten in Indien sind aufgrund der nachgewiesenen Angriffsmuster der Kampagne einem erhöhten Risiko ausgesetzt.