Als der Dalai Lama seinen 90. Geburtstag feierte, starteten China-nahe Hacker Cyberangriffe auf die tibetische Gemeinschaft. Diese staatlich unterstützten Operationen nutzten gefälschte Apps und nachgeahmte Websites, um Spionagesoftware zu verbreiten.
Laut Forschern nutzten die Kampagnen kulturell gestaltete Köder, um Nutzer dazu zu bringen, Malware herunterzuladen. Die Opfer installierten unwissentlich Apps, die Gh0st RAT oder PhantomNet enthielten – Werkzeuge, die häufig mit chinesischen Cyberspionagegruppen in Verbindung gebracht werden.
Gefälschte Websites und „kulturelle“ Apps
Die Angreifer nutzten Subdomains von niccenter[.]net, um täuschend echte Plattformen zu hosten. Diese Websites ahmten legitime tibetische Seiten nach und verleiteten Nutzer dazu, Spionagesoftware herunterzuladen, getarnt als Feier-Apps.
Der erste Angriff, „Operation GhostChat“, kopierte die Website einer echten tibetischen Wohltätigkeitsorganisation. Die gefälschte Seite bot eine tibetische Version einer sicheren Messaging-App an. Wer sie installierte, lud in Wahrheit Gh0st RAT herunter.
Diese Spionagesoftware verschaffte den Hackern Zugriff auf Mikrofone, Webcams, Tastaturen und Dateien der Opfer – und ermöglichte die Fernsteuerung der infizierten Geräte.
Der zweite Angriff, „Operation PhantomPrayers“, präsentierte eine gefälschte „Global Birthday Check-in“-App. Eine interaktive Karte ermöglichte es Nutzern, dem Dalai Lama Grüße zu senden. Tatsächlich verteilte die App jedoch PhantomNet, das sensible Daten stahl und weitere Malware installierte.
Zuschreibung und Absicht
Ein gemeinsamer Bericht von Zscaler ThreatLabz und dem Tibetan Computer Emergency Readiness Team (TibCERT) schreibt beide Kampagnen chinesischen staatlich unterstützten Gruppen zu. Der Bericht nennt die Struktur der Malware, die Zielauswahl und die Verbreitungsmethoden als klare Hinweise auf staatliche Beteiligung.
TibCERT gehört zur Tibet Action Institute, einer US-amerikanischen NGO. Analysten sehen Verbindungen zu Organisationen wie USAID und dem US-Außenministerium.
Teil eines größeren Spionagemusters
Forscher klassifizieren diese Angriffe als sogenannte „Watering Hole“-Attacken – eine Technik, bei der Websites infiziert werden, die gezielt von bestimmten Gruppen häufig besucht werden. Ähnliche Methoden wurden bereits von bekannten China-nahen Gruppen wie EvilBamboo, Evasive Panda und TAG-112 verwendet.
Diese neuen Kampagnen setzen das Muster fort, mit gezielter Malware politisch sensible Gemeinschaften zu überwachen und zu manipulieren.
Fazit
Die China-Spyware-Kampagnen rund um den Dalai Lama zeigen eine beunruhigende Verbindung von kultureller Manipulation und Cyberspionage. Indem sie Vertrauen und bedeutende kulturelle Ereignisse ausnutzten, erhielten Hacker tiefen Zugang zur tibetischen Gemeinschaft. Die Angriffe verdeutlichen, wie digitale Bedrohungen politisch motiviert sein können – mit langfristigen Auswirkungen.
0 Kommentare zu „China-Spionageangriff mit Schadsoftware auf Dalai Lama zielt auf tibetische Gemeinschaft“