Hackergruppe CL-STA-1062: Zehn Organisationen in drei Monaten angegriffen
27.06.2026 - 00:22:21 | boerse-global.de
Der Sicherheitsforscher Palo Alto Networks Unit 42 veröffentlichte die Analyse am Donnerstag. Die als CL-STA-1062 bezeichnete Gruppe ist demnach seit mindestens März 2022 aktiv – und hat ihre Angriffe auf kritische Infrastruktur Mitte 2025 massiv verstärkt.
Allein zwischen Oktober und Dezember 2025 gelangen Einbrüche bei mehr als zehn Organisationen in der Region. Die Angreifer setzen dabei auf eine eigens entwickelte Hintertür sowie frei verfügbare Werkzeuge, um sich dauerhaft in den Systemen festzusetzen und Daten abzusaugen.
TinyRCT: Eine maßgeschneiderte Schadsoftware
Das zentrale Werkzeug der Kampagne ist ein neuer Remote Access Trojan (RAT) namens TinyRCT, geschrieben in C#. Die Schadsoftware kommuniziert per AES-128-Verschlüsselung mit ihrem Steuerungsserver und erlaubt den Angreifern die Ausführung von Shell-Befehlen, das Abgreifen von Dateien sowie Bildschirmaufnahmen.
Besonders perfide: Der Trojaner tarnt sich als legitime Systemdatei PerfWatcher2.exe und verfügt über eine Selbstzerstörungsfunktion, um Spuren zu verwischen. Ersten Zugriff verschaffen sich die Hacker über ASPX-Webshells auf verwundbaren Servern. Im Netzwerk angelegt, installieren sie getarnte Aufgabenplanungen, die den Google-Updater-Dienst imitieren.
Für die Seitwärtsbewegung und den Diebstahl von Zugangsdaten nutzt die Gruppe bekannte Open-Source-Tools wie SoftEther VPN, Mimikatz und VNT.
Verdeckte Verbindungen zu anderen Hackergruppen
Die Hackergruppe CL-STA-1062 hat in nur drei Monaten zehn Organisationen infiltriert – mit maßgeschneiderter Malware und getarnten Webshells. Dieser Report zeigt Ihnen, wie Sie TinyRCT erkennen, Seitwärtsbewegungen stoppen und Ihren Notfallplan schärfen. Jetzt kostenlosen CISO-Report anfordern
Die Analyse zeigt Überschneidungen mit anderen bekannten Bedrohungsakteuren. So handelt es sich bei CL-STA-1062 offenbar um dieselbe Gruppe, die Cisco Talos als UAT-7237 führt und die bereits im Sommer 2025 Webhosting-Anbieter in Taiwan angriff.
Doch damit nicht genug: Unit 42 beobachtete zwischen März und August 2025 ein koordiniertes Vorgehen mehrerer chinesischsprachiger Gruppen gegen dieselben Regierungsorganisationen. Mustang Panda, Earth Estries und Unfading Sea Haze zeigten dabei überlappende Techniken – ein Hinweis auf eine gemeinsame strategische Zielsetzung.
Welle von Angriffen auf asiatische Infrastruktur
Die Enthüllung reiht sich in eine Serie ähnlicher Vorfälle ein. Erst kürzlich deckte ESET die Gruppe GopherWhisper auf, die mit Go-basierter Malware in Regierungssysteme der Mongolei eindrang. Die Angreifer missbrauchten dabei legitime Cloud-Dienste wie Discord, Slack und Microsoft 365 für ihre Steuerungsbefehle – und zwar während der Arbeitszeiten der China Standard Time.
In Japan wurden diese Woche Details zu einem monatelangen Einbruch bei den Bodenselbstverteidigungsstreitkräften bekannt. Gefälschte USB-Sticks, die im März 2024 im Rahmen von Erdbebenhilfsaktionen verteilt wurden, enthielten Schadsoftware. Die Infektion blieb bis Februar 2025 unentdeckt. Zu diesem Zeitpunkt waren bereits mehr als 50 Computer kompromittiert – darunter Systeme mit Geheiminformationen. Ähnlich infizierte Hardware tauchte auch an japanischen Forschungseinrichtungen und Fabriken auf.
Koordinierte Angriffe mehrerer chinesischsprachiger Gruppen auf kritische Infrastruktur nehmen zu – Mustang Panda, Earth Estries und CL-STA-1062 teilen sich offenbar Ziele. Ihr Netzwerk braucht einen Abwehrplan gegen diese APT-Koalition. Sofort-Maßnahmen für Ihr Netzwerk sichern
KI senkt die Hürde für Angreifer
Branchenexperten schlagen zudem Alarm wegen der zunehmenden Rolle Künstlicher Intelligenz. Die Veröffentlichung des Open-Source-Modells GLM-5.2 durch das chinesische Startup Z.ai hat Warnungen von Forschern der Firmen Graphstry und Semgrep ausgelöst. Solche Modelle ließen sich modifizieren, um komplexe Angriffsketten zu automatisieren – was die Häufigkeit und Raffinesse von Attacken auf kritische Infrastruktur weiter steigern könnte.
