Mobile-Menu

Missbrauch von Group Policies und vielfältige Tools LongNosedGoblin spioniert Regierungen in Asien aus

Quelle: Pressemitteilung 3 min Lesedauer

Anbieter zum Thema

ESET Deutschland GmbH
Fsas Technologies GmbH
FAST LTA GmbH

Eset beobachtet eine mutmaßlich mit China verbundene Hackergruppe, Regierungsnetzwerke in Asien ausspioniert und Windows-Gruppen­richt­li­nien zur Malware-Verbreitung missbraucht. Dabei nutzt sie auch Cloud-Dienste für unauffällige C2-Verbindungen.

Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt.(Bild: KI-generiert)
Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt.
(Bild: KI-generiert)

Die Sicherheitsforscher von Eset berichten, eine bislang unbekannte, mutmaßlich mit China in Verbindung stehende Hackergruppe identifiziert zu haben. Die Gruppe namens „Long­Nosed­Goblin“ nehme gezielt Regierungsnetze ins Visier und missbrauche dabei ein zentrales Ver­wal­tungs­werkzeug von Windows-Systemen: Gruppenrichtlinien, die üblicherweise in Active-Direc­tory-Umgebungen eingesetzt werden. Auf diese Weise könne sich die Schadsoftware unauf­fäl­lig im Netzwerk ausbreiten.

Wer ist LongNosedGoblin?

Nach Erkenntnissen von Eset liegt das Hauptaugenmerk von LongNosedGoblin in der Cyber­spionage. Ziel seien Regierungsinstitutionen in Südostasien und Japan. Erste Spuren der Ak­ti­vi­täten würden mindestens bis September 2023 zurück reichen. Die Forscher berichten, im Jahr 2024 erstmals auf bislang unbekannte Schadprogramme im Netzwerk einer südost­asia­ti­schen Regierungsbehörde gestoßen zu sein. Seit September 2025 hätten sie erneut verstärkte Ak­ti­vi­täten der Gruppe in der Region registriert.

Doch LongNosedGoblin scheint nicht nur in Asien aktiv zu sein. Die Sicherheitsforscherhätten eine Variante der Schadsoftware „NosyDoor“ entdeckt, die gezielt eine Organisation in einem EU-Mitgliedstaat angegriffen habe. Dafür hätte sie Yandex Disk als Kontrollserver genutzt. Dies deute darauf hin, dass die eingesetzte Malware möglicherweise von mehreren chinesischen Hackergruppen gemeinsam genutzt werde.

So geht LongNosedGoblin vor

„Der Missbrauch von Gruppenrichtlinien zur flächendeckenden Malware-Verteilung ist tech­nisch anspruchsvoll und deutet auf eine hohe Expertise der Hacker hin“, sagt Eset-Forscher Anton Cherepanov. „In Kombination mit Cloud-basiertem Command and Control (C2) erschwert dies die Erkennung erheblich.“ Mithilfe ihres eigens entwickeltes Toolset, das hauptsächlich aus C#/.NET-Anwendungen bestehe, nutze LongNosedGoblin die Group Policies aus, um Malware zu verbreiten und sich lateral im Netzwerk fortzubewegen.

Doch die Schadsoftware werde nicht nur über kompromittierte interne Netzwerke verteilt, sondern nutze auch legitime Cloud-Dienste wie Microsoft OneDrive oder Google Drive und in einem weiteren Fall sogar Yandex Disk als Kommandozentrum für die Angriffe. Dies erschwere die Erkennung erheblich.

Zum weiteren Repertoire von LongNosedGoblin würden neben NosyDoor weitere spezialisierte Werkzeuge gehören. Während erstere detaillierte Systeminformationen sammle und mit den Kontrollservern der Angreifer kommuniziere und in der Lage sei, Dateien zu stehlen, zu löschen oder beliebige Befehle auf den kompromittierten Rechnern auszuführen, analysiere die Schad­software „NosyHistorian“ den Browserverlauf gängiger Browser wie Chrome, Edge und Firefox, um gezielt weitere Angriffe zu planen. Weitere Module seien auf den Diebstahl von Browser-Daten, das heimliche Nachladen von Schadcode direkt im Arbeitsspeicher sowie das Mit­schneiden von Tastatureingaben ausgelegt.

Schutz vor LongNosedGoblin

Eset warnt, dass selbst etablierte Verwaltungsmechanismen und vertrauenswürdige Cloud-Dienste von staatlich unterstützten Angreifern missbraucht werden und dabei lange unentdeckt bleiben könnten. Der Hersteller veröffentlichte auf GitHub ein Repository mit einer Liste von Indikatoren für eine Kompromittierung und Beispielen.

Zum Schutz vor Spionage-Akteuren wie LongNosedGoblin empfehlen sich zudem folgende Sicherheitsvorkehrungen:

  • Implementierung strenger Sicherheitsrichtlinien für die Nutzung von Group Policies, um missbräuchliche Deployments zu verhindern.
  • Einrichtung von Monitoring-Systemen, die verdächtige Aktivitäten innerhalb des Netzwerks erkennen, insbesondere beim Zugriff auf Group Policies und Cloud-Dienste.
  • Verwendung von leistungsfähigen Antivirensoftwarelösungen und Endpoint-Detection-and-Response-Systemen, die bekannte Bedrohungen erkennen und neuartige Malware identifizieren können.
  • Schulung der Mitarbeiter in Bezug auf Phishing-Angriffe und Sicherheitsbewusstsein, um das Risiko zu verringern, dass bösartige Software unwissentlich heruntergeladen oder ausgeführt wird.
  • Durchführung regelmäßiger Audits und Sicherheitsüberprüfungen der Systeme, um Schwachstellen zu identifizieren und zu beheben.
  • Implementierung von Prinzipien der minimalen Berechtigung, um sicherzustellen, dass Benutzer nur Zugriff auf die Ressourcen haben, die sie benötigen.

(ID:50667637)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte