Sozialtechnische Angriffe mit Konfliktbezug verbreiten RATs in ganz Osteuropa

17. Oktober 2025

Von Samantha Clarke und dem Mimecast Threat Research Team

Wichtige Punkte

MCTO1025, auch bekannt als UCA-0050, ist eine Cyberkriminalitätsgruppe, die von einer single ASN-Infrastruktur aus eine einjährige Kampagne gegen die Ukraine, Rumänien und Moldawien durchführte.
Ausgeklügelte Social-Engineering-Kampagnen, bei denen sich die Täter als ukrainische und russische Sicherheitsdienste ausgeben, sowie Mitteilungen zu Evakuierungsplänen und zur militärischen Mobilmachung
Bemerkenswerter Hackerangriff auf den moldauischen Fernsehsender TV8, der im Januar 2024 für Selbstdarstellung und Desinformationskampagnen der Gruppe genutzt wurde
Rekrutierungskampagnen, die "einen sicheren Weg" nach Russland anbieten, dienen dazu, Geldkuriergeschäfte und die Informationsbeschaffung zu erleichtern
Die Verbreitung von Malware konzentriert sich auf gängige Fernzugriffstrojaner wie QasarRAT, RemoteUtilities, RemcosRAT und RuRAT
Zu den jüngsten Entwicklungen im Rahmen der Kampagne gehört der Einsatz des AnonVNC-Loaders unter Vortäuschung einer Identität des ukrainischen Sicherheitsdienstes

Kampagnenübersicht

Das Mimecast Threat Research-Team beobachtet weiterhin die seit 2023 andauernden böswilligen Aktivitäten der Gruppe MCTO1025, einer Cyberkriminalitätsgruppe, die ihre Aktivitäten konsequent gegen die Ukraine und die Nachbarländer Rumänien und Moldawien richtet. Diese Maßnahme zeugt von einem fundierten Verständnis der regionalen geopolitischen Spannungen und nutzt konfliktbezogene Themen, um bei den Zielgruppen eine hohe Bindungsrate der Betroffenen zu erzielen. Die Operationen im Rahmen von MCTO1025 umfassen vielfältige Social-Engineering-Ansätze, die darauf abzielen, die anhaltende Konfliktsituation und die damit verbundenen humanitären Probleme auszunutzen.

Zu den Themen der Kampagne gehören das Vortäuschen einer Identität als ukrainischer oder russischer Sicherheitsdienst, die Verbreitung gefälschter Evakuierungspläne im Falle von Luftangriffen, betrügerische Mitteilungen zur Mobilmachung sowie Angebote für einen sicheren Rückzug aus Konfliktgebieten.

Bemerkenswerte Wahlkampagnen im Jahr 2024

TV8 Moldawien-Hack

Anfang Januar 2024 wurde das E-Mail-Konto des moldauischen Fernsehsenders TV8 gehackt und dazu missbraucht, E-Mails mit dem Betreff „Pressemitteilung von TV8 – Пресс – Релиз от телекомпании TV8“ zu versenden, in denen ein Interview mit dem Gründer einer Gruppe angeboten wurde. Die folgende Erklärung, die aus dem Russischen übersetzt wurde, erschien auf mediacritica.md: [Die offizielle E-Mail-Adresse von TV8 war Ziel eines Cyberangriffs. Kommentar des Fernsehsenders – Mediacritica ]

In der Nacht vom 8. auf den 9. Januar wurde die offizielle E-Mail-Adresse von TV8 Opfer eines Cyberangriffs. Dem Medienbericht zufolge sandten die Angreifer im Namen des Fernsehsenders eine Nachricht an mehrere Personen und Einrichtungen, in der sie angaben, dass ein Journalist der Redaktion der Website Tv8.md den Gründer der Hackergruppe „DaVinci Group-DVG8873“ interviewt habe, die sich als „ " “ und unabhängige Cyber-Einheit gegen die Ukraine und die NATO-Staaten positioniert." In einem Kommentar für Mediacritica wies Mariana Rață, Chefredakteurin von TV8, darauf hin, dass dies nicht das erste Mal sei, dass moldauische Medien Ziel von Cyberangriffen geworden seien.

Nach Überprüfungen durch die Technikexperten von TV8 wurde der Angriff von einer IP-Adresse aus durchgeführt, die von einem Server in Amsterdam, Niederlande, verwaltet wird. "Eigentümer des Hosting-Unternehmens ist die britische Firma Aeza International LTD, die von einem kasachischen Staatsbürger – Marat Timurov – gegründet wurde. Aeza International ist einer der beliebtesten Hosting-Anbieter in Russland und wird auf mehreren Fachwebseiten als russisches Unternehmen vorgestellt. TV8 hat dieses Unternehmen kontaktiert und um Informationen über die Nutzer der IP-Adresse gebeten, von der aus der Cyberangriff durchgeführt wurde; eine Antwort haben wir jedoch bislang noch nicht erhalten, erklärte Mariana Rață v"

Der Quelle zufolge „war in derselben Nacht auch das E-Mail-System des staatlichen Unternehmens Moldelectrica Ziel eines ähnlichen Cyberangriffs.“ „Die gleiche SMS wurde über die Unternehmens-E-Mail-Adresse von Moldelectrica versendet.“

Online-Belästigungskampagnen, das Hacken von Social-Media-Konten, DDoS-Angriffe (Distributed Denial of Service) oder Phishing sind nur einige der digitalen Bedrohungen, denen die Presse in der Republik Moldau ausgesetzt ist, wie aus einer vom Independent Journalism Center veröffentlichten Studie hervorgeht. Vertreter mehrerer in der Studie erfasster Medienunternehmen gaben an, dass ihre Websites im Jahr 2023, insbesondere im August und September, Ziel von DDoS-Angriffen waren, die zu Ausfällen führten, die von wenigen Minuten bis zu mehreren Stunden andauerten.

Veaceslav Perunov, Leiter des Portals SP.md, bestätigte, dass das von ihm geleitete Medienunternehmen im August 2023 Ziel von DDoS-Angriffen war, als mehrere Medienunternehmen gleichzeitig von diesem Phänomen betroffen waren. „Die Website war nicht erreichbar, allerdings nicht lange.“ „Unser Server hat das bewältigt“, sagte Perunov. Renata Lupachescu, Redakteurin des Portals „Studio-L“, äußerte sich im September 2023 zu dem Angriff: „Wir waren Opfer eines DDoS-Angriffs; die Website war nicht erreichbar und funktionierte etwa vier Stunden lang nicht, doch dann konnten wir das Problem beheben.“ Im Oktober und November 2023 war Nokta.md vier- oder fünfmal Ziel von DDoS-Angriffen, TV8 war dreimal Ziel solcher Angriffe

Sicherer Weg nach Russland

Im weiteren Verlauf des Januars 2024 begann die Gruppe, E-Mails zu versenden, in denen sie sich als FSB-Beamte ausgab und „sicheren Durchgang“ nach Russland im Austausch für die „anonyme Erfüllung von Aufgaben gegen finanzielle Belohnungen“ anbot. [Solche „Aufträge“ stehen fast immer im Zusammenhang mit der Anwerbung von Geldkurieren.]

AnonVNC-Loader

Im Rahmen von Kampagnen, die Mitte August 2024 durchgeführt wurden, wurde ein relativ neuer Loader namens AnonVNC verbreitet, wobei sich die Angreifer als ukrainische Sicherheitsdienste (SBU) ausgaben. Dies wurde später von CERT-UA bestätigt, [https://cert.gov.ua/article/6280345 ], wurde jedoch trotz der Ähnlichkeiten zu früheren Kampagnen anders eingestuft.

Ukrainian Geo 3.png

Die technische Analyse zeigt, dass MCTO1025 vorrangig auf Standard-Malware zurückgreift, die zuverlässige Fernzugriffsfunktionen bietet und dabei ein geringes Erkennungsrisiko aufweist. Zu den Verbreitungsmethoden der Gruppe gehören sowohl über URLs gehostete Schadcodes als auch in mehrere RAR-Dateien aufgeteilte E-Mail-Anhänge, was eine taktische Flexibilität verdeutlicht, die darauf abzielt, verschiedene Sicherheitskontrollen zu umgehen und die Anzahl erfolgreicher Infektionen in unterschiedlichen Zielumgebungen zu maximieren.

Mimecast-Schutz

Mimecast hat Erkennungsfunktionen implementiert, die auf die spezifischen Taktiken von MCTO1025 abzielen, darunter die Analyse von Social-Engineering-Mustern mit Konfliktbezug, Verbreitungsmethoden für Standard-RATs sowie die für die Gruppe charakteristische Nutzung legitimer Filesharing-Plattformen zum Hosten von Payloads.

Ziele

In erster Linie ukrainische Organisationen aus allen Bereichen, wobei rumänische und moldauische Einrichtungen, insbesondere aus den Bereichen Regierung, Medien und kritische Infrastruktur, ebenfalls ins Visier genommen werden.

Indikatoren für eine Kompromittierung (IOCs)

Schädliche Domains:

privat24x[.]com
gbshost[.]com
8161[.]uk (Homepage der Da Vinci Special Agency)

Schädliche URLs:

hxxps://bitbucket[.]org/ukgas/medoc/downloads/scan_docs_023747_medoc.zip
hxxps://bitbucket[.]org/privatbank/obmen/downloads/Електронні_акт_094584_Приватбанк24.7z
hxxps://bitbucket[.]org/filedataup/up/downloads/Документи.zip
hxxps://bitbucket[.]org/court_gov_ua/files/downloads/Dokumenty.zip
hxxps://bitbucket[.]org/files_gov_ua/file/downloads/files.7z
hxxps://drive.google[.]com/file/d/1LesqoxORcvaUbLN2O3KRNEN0z1qRLmFE/vie
hxxps://drive.google[.]com/file/d/1EipxNQZfEMcr0D0v3bg9VHhhuBQfRKvK/view?usp=drive_link
hxxps://drive.google[.]com/file/d/1byrqOmYvSFPAlUvw_Uwh8S_ziMC3T7UU/view
hxxps://drive.google[.]com/file/d/1PD6UgmqTzAqOWjAkp2OBWUWBc5HWDIaS

Malware-Beispiele (SHA256):

de9f2262970884a7412c3b2fba2cb2fb9329ccf29a94b148ee47c255bff041a9
ce3445a8bd61a791913bc2cb02bcb3dea9fc340bf1c984c40cb33ab1a91a2953
97646017a7fd3778e619e55cc7afd594bdd88df5542f21fc2ec10c88fa23741d
20ab498b278b14f3786f634778a04d219c74e9fd8517b98f4aca313c9934b7f2

Beispiele für den AnonVNC-Loader:

4c4872202abb5a60a8764bf44b370578a2b3d6f449b3881e96cc38f1b55f9cda
02ec55a5a2ad775adccd333edd94ac0bd82129a233736f7240044e085b73b0b3
a7297883de84d73fb4965c00228144a0e53c573ad3b7291be39bc6d9c284454c

Kommunikationskanäle:

hxxps://t[.]me/UFSB95
hxxps://t[.]me/DVG8873

Infrastruktur:

AEZA International LTD Hosting (Server in Amsterdam)

Empfehlungen

Bewusstsein für Bedrohungen:

Schulen Sie das Personal darin, raffinierte Social-Engineering-Taktiken zu erkennen, die regionale Spannungen und humanitäre Bedenken ausnutzen
Führen Sie zusätzliche Kontrollen für Medienunternehmen und Einrichtungen der kritischen Infrastruktur ein, die möglicherweise für Propaganda- oder Desinformationszwecke ins Visier genommen werden könnten

Proaktive Bedrohungssuche:

Durchsuchen Sie die E-Mail-Empfangsprotokolle und URL-Protokolle nach technischen Indikatoren, die mit diesen Kampagnen in Zusammenhang stehen
Überprüfen Sie den Netzwerkverkehr auf typische RAT-Signaturen, insbesondere auf die Kommunikation mit bekannter AEZA-Hosting-Infrastruktur
Untersuchen Sie alle Fälle, in denen in Mitteilungen zum Thema Personalbeschaffung für Telegram-Kanäle geworben wird, insbesondere solche, in denen