TGR-STA-1030 ist eine neu entdeckte Cyberspionage-Gruppe, die 2025 Regierungsorganisationen in 37 Ländern angegriffen hat. Die vermutlich staatlich unterstützten Akteure nutzen Phishing-Kampagnen und bekannte Schwachstellen aus.
Die Phishing-Angriffe von TGR-STA-1030 beginnen laut Palo Alto Networks meist mit E-Mails, die an Regierungsmitarbeiter gesendet werden und den Vorwand einer Ministeriums- oder Behördeumstrukturierung nutzen.
Das Cybersicherheitsteam Unit42 von Palo Alto Networks hat eine neue Cyberspionage-Gruppe entdeckt, die 2025 Regierungs- und Infrastrukturorganisationen in 37 Ländern kompromittiert habe. Bei den Akteuren hinter der „TGR-STA-1030“ genannten Gruppe, handle es sich mit hoher Wahrscheinlichkeit um eine staatlich orientierte Gruppe, die von Asien aus operiere. Primär ziele TGR-STA-1030 auf Ministerien und Behörden ab und habe bereits folgend mehrere nationale Strafverfolgungs- und Grenzschutzbehörden, Finanzministerien sowie weltweit Abteilungen kompromittiert, die sich mit Wirtschaft, Handel und Diplomatie befassen.
Unit42 habe TGR-STA-1030, auch „UNC6619“ genannt erstmals Anfang 2025 im Zuge der Untersuchung einer Reihe bösartiger Phishing-Kampagnen beobachtet, die auf europäische Regierungen abgezielt hätten, um diese auszuspionieren. Die Infrastruktur der Akteure reiche jedoch bis Januar 2024 zurück. Die Analysten gehen davon aus, dass die Gruppe von Asien aus operiert, weil
sie häufig regionale Tools und Services nutzen würde,
Präferenzen für bestimmte Spracheinstellungen hätte,
Zielsetzung und Zeitpunkt der Angriffe regelmäßig mit Ereignissen und Informationen überein stimmen würden, die für die Region von Interesse seien,
Verbindungen zu operativen Infrastrukturen aus der Region stammen würden und
die Aktivitäten der Akteure regelmäßig mit der Zeitzone GMT+8 übereinstimmen würden.
Dass die Akteure vermutlich aus Asien stammen scheint jedoch nicht zu bedeuten, dass sie nur Ziele in dieser Region angreifen. Denn im Februar 2025 habe Unit42 eine Reihe von Phishing-Kampagnen untersucht, die auf europäische Regierungen abgezielt hätten. Diese Kampagnen hätten einem bestimmten Muster gefolgt: Die E-Mail seien an Regierungs-Empfänger versandt worden und hätten den Vorwand einer Umstrukturierung eines Ministeriums oder einer Behörde sowie Links zu schädlichen Dateien enthalten, die auf „mega[.]nz“ gehostet worden seien.
Durch Klicken auf den Link würde eine Archivdatei heruntergeladen, deren Sprache und Namensgebung mit dem Zielland und dem Ministerium übereinstimme. Die Forscher gehen davon aus, dass eine estnische Regierungsbehörde die Phishing-Kampagne identifizieren konnte und ein solches bösartiges ZIP-Archiv in ein öffentliches Malware-Repository hochgeladen hat. Unit42 habe dann diese Malware analysiert, um mehr über ihre Funktionsweise und die dahinterstehende Bedrohungsakteur-Gruppe zu erfahren. Im Falle der beobachteten Malware habe der estnische Dateiname „Politsei- ja Piirivalveameti organisatsiooni struktuuri muudatused.zip“ gelautet, was übersetzt „Änderungen an der Organisationsstruktur der Polizei- und Grenzschutzbehörde.zip“ bedeutet.
Das ZIP-Archiv habe auch eine ausführbare Datei mit demselben Namen wie die ZIP-Datei selbst sowie eine leere Daten namens „pic.png“ enthalten. Diese ausführbare Datei sei eine Malware, die eine zweistufige Ausführungsbarriere verwende, um eine automatisierte Sandbox-Analyse zu verhindern. Die Malware-Datei habe ursprünglich den Namen „DiaoYu.exe“ gehabt. Diaoyu ist Chinesisch und bedeutet auf Deutsch Angeln, im Englischen also Phishing.
Die PNG-Datei dient den Forschern zufolge als dateibasierte Integritätsprüfung. Sobald die Malware isoliert in einer Sandbox ausgeführt werde, führe das Fehlen dieser Hilfsdatei dazu, dass der Prozess vor der Ausführung ordnungsgemäß beendet werde und somit sein schädliches Verhalten verschleiert werde. Erst wenn diese Voraussetzungen erfüllt seien, überprüfe die Malware den Host auf die folgenden Cybersicherheitsprodukte:
Avp.exe (Kaspersky)
SentryEye.exe (Avira)
EPSecurityService.exe (Bitdefender)
SentinelUI.exe (Sentinel One)
NortonSecurity.exe (Symantec)
Die Forscher bezeichnen diese Auswahl der Produkte durch die Malware als bemerkenswert. Denn dies bedeute, dass die Malware gezielt nur nach Lösungen von Kaspersky, Avira, Bitdefender, Sentinel One und Symantec suche, was auf eine strategische Ausrichtung des Angreifers hinweise, der möglicherweise bestimmte Umgebungen oder Benutzergruppen im Visier haben könnte. Eine solch begrenzte Produktauswahl ist ungewöhnlich, da die meisten Malware-Familien typischerweise eine breitere Palette an Antivirenlösungen berücksichtigen, um von ihnen unentdeckt zu bleiben. Die Vorgehensweise, die Unit42 bei TGR-STA-1030 beobachtet habe, könnte darauf hindeuten, dass die Malware ihre schädlichen Aktivitäten verstecken möchte, indem sie nur gegen bekannte Sicherheitslösungen getestet wird. Zudem impliziert die Datei „pic1.png“, dass eine zusätzliche Schutzmaßnahme vorhanden ist, die überprüft, ob die Umgebung einer Sandbox-Analyse unterzogen wird, bevor die Malware ausgeführt wird.
Nach der Überprüfung auf die genannten Produkte lade die Malware die folgenden Dateien von GitHub herunter:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Interessanterweise ist laut Unit42 das GitHub-Projekt „padeqav“ nicht mehr verfügbar. Anschließend führe die Malware eine Reihe von Aktionen an diesen Dateien aus, die letztendlich zur Installation der Cobalt-Strike-Payload führen würden.
Neben dem Einsatz von Phishing-Kampagnen versuche TGR-STA-1030 außerdem häufig, durch Ausnutzung von Schwachstellen an erste Zugangspunkte für die Netzwerke ihrer Opfer zu gelangen. Allerdings habe Unit42 bisher nicht beobachtet, dass die Gruppe Zero-Day-Exploits entwickelt, getestet oder bereitgestellt habe, was darauf schließen lasse, dass sie bekannte Sicherheitslücken nutze. Die Forscher berichten, im vergangenen Jahr mehrere Versuche der Gruppe entdeckt zu haben, bei denen sie folgende Arten von Schwachstellen ausgenutzt hätten:
Privilegienerweiterung im SAP Solution Manager
Remote-Dateizugriff über die XXE-Schwachstelle in Pivotal Spring Data Commons
Remote-Code-Ausführung bei Microsoft Open Management Infrastructure
Remote-Code-Ausführung bei Microsoft Exchange Server
Remote-Code-Ausführung bei D-Link
Versuche zu HTTP-Verzeichnisdurchquerungen
Versuche zu HTTP-SQL-Injection
Remote-Code-Ausführung über die Struts2 OGNL-Schwachstelle
Remote-Befehlsausführung bei Ruijieyi Networks
Remote-Befehlsausführung bei Eyou Email System
SQL-Injection-Schwachstelle in Beijing Grandview Century eHR Software
Remote-Code-Ausführung bei Weaver Ecology-OA
Zugriff auf win.ini bei Microsoft Windows
Umgehung der Authentifizierung beim Download über Commvault CommCell CVSearchService
Remote-Code-Ausführung bei Zhiyuan OA
Unit42 zufolge ist TGR-STA-1030 eine ernstzunehmende Bedrohung, weswegen Palo Alto Networks bereits bereits mit Branchenkollegen und Regierungspartnern zusammenarbeite, um das Bewusstsein für die einhergehenden Risiken zu schärfen. IT-Sicherheitsverantwortlichen empfiehlt der Hersteller, die Indicators of Compromise, die er in seinem Blogbeitrag veröffentlicht hat, zu nutzen, um Aktivitäten durch TGR-STA-1030 zu erkennen und unterbinden zu können.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/0e/0d0e94ef36ab18908daf271ce57c5b6e/0130083847v2.jpeg "Ältere Sicherheitslücken sind für Hacker besonders interessant, da sie häufig in vielen Organisationen ungesichert bleiben, was die Wahrscheinlichkeit ihrer Ausnutzung erhöht. DIes führt zu oftmals sehr hohen EPSS-Scores. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/48/33/4833cacbcfce7e25fecc9b8b4e6b494a/0129709900v2.jpeg "Die Phishing-Angriffe von TGR-STA-1030 beginnen laut Palo Alto Networks meist mit E-Mails, die an Regierungsmitarbeiter gesendet werden und den Vorwand einer Ministeriums- oder Behördeumstrukturierung nutzen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/fb/79fb569f08e89e72c83e2dd670d2d2df/0130010051v2.jpeg "Cyberversicherung oder Incident Response Retainer: Beide Ansätze haben Vor- und Nachteile. Eine sorgfältige Prüfung der eigenen Anforderungen ist entscheidend. (Bild: © Sarfraz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/63/92635bb91f1886ceef05e9c41e0532c3/0130004208v2.jpeg "Die Reaktionszeit ist bei Cyberangriffen entscheidend. Je schneller Security-Teams Bedrohungen erkennen und abwehren können, desto geringer der Schaden. (Bild: © Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/b8/74b8bcd9ee280c5eec09f62b865876d4/0130035577v2.jpeg "Der Entwickler versäumte es, eine Statusdatei korrekt zu verwenden und die Infrastrukturen von verschiedenen Projekten getrennt zu halten. Claude Code machte daraufhin den Fehler, die aktuelle Statusdatei von einer bestehenden Terraform-Konfiguration durch eine ältere zu ersetzen und löschte mit dem Befehl „terraform destroy“ eine komplette Datenbank und alle Snapshots. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/d8/add8f6a98ffe40d92e4d067a3b45a183/0130006049v2.jpeg "Die Zahl der Sicherheitsvorfälle in der Cloud nimmt weiter zu. Gleichzeitig fehlt es vielen Teams an Zeit, Kontext und Ressourcen für fundierte Untersuchungen. (Bild: © Jack - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e6/f0/e6f0767d32ecd3c53c028c4d13e6c128/0126930619v2.jpeg "Nachdem der Bitkom seine Wirtschaftsschutz-Studie 2025 vorgestellt hat, äußert sich die chinesische Regierung dazu. (Bild: BirgitKorber - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/82/66823f0785b0ad041cdc81eb864b3a9f/0124884590v2.jpeg "Die Analyse der aktuellen TA406-Kampagne gegen die Ukraine unterstreicht, wie flexibel und zielgerichtet staatlich unterstützte Hackergruppen nicht nur aus Nordkorea mittlerweile agieren. (Bild: © Vitalii - stock.adobe.com)")