Chinesische Hackergruppe nutzt Schwachstellen in Ivanti-VPNs für gezielte Angriffe auf Netzwerke

Chinesische APT-Gruppe nutzt Ivanti-Schwachstelle für globale Cyberangriffe

Ende März entdeckte das taiwanesische Sicherheitsunternehmen TeamT5, dass die mutmaßlich staatlich unterstützte APT-Gruppe China-nexus eine kritische Sicherheitslücke in Ivanti Connect Secure VPN-Geräten ausnutzte, um weltweit in Netzwerke einzudringen. Nach Angaben der Analysten zählten fast zwanzig verschiedene Branchen in insgesamt zwölf Ländern zu den Opfern.

Die Angriffe richteten sich unter anderem gegen Organisationen in Österreich, Australien, Frankreich, Spanien, Japan, Südkorea, den Niederlanden, Singapur, Taiwan, den Vereinigten Arabischen Emiraten, dem Vereinigten Königreich sowie den Vereinigten Staaten.

Betroffen waren eine Vielzahl von Sektoren – darunter die Automobilindustrie, Chemieunternehmen, Mischkonzerne, das Bauwesen, Informationssicherheitsfirmen, Bildungseinrichtungen, Elektronikhersteller, Finanzinstitute, Glücksspielanbieter, Regierungsbehörden, zwischenstaatliche Organisationen (IGO), IT-Dienstleister, Anwaltskanzleien, die Fertigungsindustrie, Materialhersteller, Medienhäuser, Nichtregierungsorganisationen (NGOs), Forschungseinrichtungen sowie Telekommunikationsunternehmen.

Laut TeamT5 gehen die Analysten davon aus, dass die Angreifer zum Zeitpunkt der Analyse noch immer Zugriff auf mindestens ein kompromittiertes Netzwerk hatten.

Ivanti-Sicherheitslücke: APT-Gruppe nutzt Zero-Day-Exploits und maßgeschneiderte Malware für globale Angriffe

Die Sicherheitsforscher von TeamT5 gehen mit hoher Wahrscheinlichkeit davon aus, dass die chinesische APT-Gruppe China-nexus gezielt Schwachstellen in Ivanti Connect Secure VPN-Geräten ausnutzte, um weltweit Cyberangriffe durchzuführen. Dabei wurden vermutlich die Sicherheitslücken CVE-2025-0282 und CVE-2025-22457 verwendet – beide gelten als schwerwiegend und ermöglichen Remote-Code-Ausführung (RCE) mit einem CVSS-Score von 9,0. Es handelt sich um Stack-basierte Pufferüberläufe, die es Angreifern ermöglichen, tief in Netzwerke einzudringen und Schadsoftware einzuschleusen.

Im Rahmen der Angriffe kam ein speziell entwickeltes Tool namens SPAWNCHIMERA zum Einsatz, das zur bekannten SPAWN-Malwarefamilie gehört. Dieses Werkzeug wurde offenbar eigens für Ivanti Connect Secure-Systeme entwickelt und kombiniert mehrere Komponenten:

• SPAWNANT (Installer)

• SPAWNMOLE (Socks5-Tunneler)

• SPAWNSNAIL (SSH-Backdoor)

• SPAWNSLOTH (Log-Wiper zur Spurenverwischung)

Die Analyse legt nahe, dass SPAWNCHIMERA nicht exklusiv eingesetzt wird, sondern auch anderen chinesischen Bedrohungsakteuren zur Verfügung stehen könnte. Zudem warnt TeamT5 vor der Möglichkeit, dass weitere Gruppen von der Schwachstelle erfahren haben und eigene Kampagnen starten. Seit April wurden bereits verstärkte Versuche beobachtet, Ivanti-VPN-Geräte massenhaft auszunutzen. Auch wenn viele dieser Angriffe scheiterten, kam es dennoch in zahlreichen Fällen zu Störungen und Instabilitäten der Systeme.

TeamT5 rät betroffenen Organisationen dringend zu einer umfassenden forensischen Analyse. Angesichts der ausgeklügelten Taktiken, Techniken und Prozeduren (TTPs) der Angreifer – darunter mehrschichtige Command-and-Control-Infrastrukturen, Umgehung von Sicherheitssystemen und der Einsatz von Protokollwischern – ist eine Identifikation kompromittierter Systeme ohne spezialisierte Unterstützung äußerst schwierig.