Zero-Day-Angriff auf Cisco-E-Mail-Gateways: Chinesische Hackergruppe setzt Python-Backdoor ein

Eine fortgeschrittene Bedrohungsgruppe mit mutmaßlich chinesischem Hintergrund nutzt derzeit eine Zero-Day-Schwachstelle in Cisco-Produkten aus. Betroffen sind E-Mail-Security-Lösungen, über die Angreifer vollständigen Systemzugriff erlangen und spezialisierte Schadsoftware installieren können.

Aktive Angriffskampagne auf Cisco-Infrastruktur

Das Sicherheitsteam von Cisco Talos hat eine laufende Cyberangriffswelle identifiziert, die gezielt AsyncOS-Software ins Visier nimmt. Die betroffenen Systeme – Cisco Secure Email Gateway (ehemals Email Security Appliance) und Cisco Secure Email and Web Manager (frühere Bezeichnung: Content Security Management Appliance) – bilden zentrale Komponenten der E-Mail-Sicherheitsinfrastruktur vieler Unternehmen.

Die Angriffe wurden am 10. Dezember 2025 bekannt, wobei Hinweise darauf hindeuten, dass die Aktivitäten bereits seit Ende November desselben Jahres andauern. Besonders brisant: Nach Erkenntnissen der Talos-Experten wurden selbst Systeme mit abweichenden Standardkonfigurationen erfolgreich kompromittiert.

UAT-9686: Profil der Angreifergruppe

Die Sicherheitsspezialisten ordnen die Kampagne mit mittlerer Konfidenz einem Bedrohungsakteur zu, der unter der Bezeichnung UAT-9686 geführt wird. Mehrere Indizien deuten auf chinesische Ursprünge hin:

Die eingesetzten Werkzeuge und die genutzte Infrastruktur weisen deutliche Parallelen zu bekannten chinesischen APT-Kollektiven auf. Insbesondere zeigen sich Übereinstimmungen mit den Gruppen APT41 und UNC5174 hinsichtlich der verwendeten Methoden und Technologien. Die Verwendung maßgeschneiderter webbasierter Implantate entspricht einem Trend, der zunehmend bei hochentwickelten chinesischen Cyberoperationen zu beobachten ist.

AquaShell: Maßgeschneiderte Python-Backdoor

Das Herzstück der Angriffskampagne bildet AquaShell, eine speziell entwickelte Hintertür auf Python-Basis. Die Schadsoftware zeichnet sich durch ihre kompakte Bauweise und geschickte Tarnung aus: Sie wird in eine bereits existierende Datei des Python-Webservers integriert und fügt sich so unauffällig in die bestehende Systemumgebung ein.

Die Funktionsweise von AquaShell basiert auf einem passiven Lauschangriff. Die Backdoor überwacht eingehende HTTP-POST-Anfragen und filtert gezielt nach spezifisch formatierten Datenpaketen – ohne dass eine Authentifizierung erforderlich ist. Sobald eine entsprechende Anfrage erkannt wird, dekodiert die Malware den Inhalt mittels einer proprietären Entschlüsselungsroutine in Kombination mit Base64-Verfahren und führt die enthaltenen Befehle direkt in der Systemshell aus.

Die Auslieferung erfolgt als verschlüsseltes Datenpaket, das nach der Entschlüsselung in die Datei „/data/web/euq_webui/htdocs/index.py“ eingeschleust wird.

Ergänzende Schadprogramme im Arsenal

Neben AquaShell setzt UAT-9686 weitere spezialisierte Tools ein:

AquaTunnel stellt eine kompilierte GoLang-Anwendung dar, die auf dem Open-Source-Projekt „ReverseSSH“ aufbaut. Das Programm etabliert eine umgekehrte SSH-Verbindung vom infizierten System zu einem Kontrollserver der Angreifer. Diese Technik umgeht wirkungsvoll Firewall-Beschränkungen und NAT-Konfigurationen.

Chisel, ein frei verfügbares Tunneling-Werkzeug, ermöglicht die Einrichtung von TCP- und UDP-Tunneln über HTTP-Verbindungen mit nur einem Port. Durch diese Funktion können Angreifer den Netzwerkverkehr über das kompromittierte Edge-System leiten und sich so Zugang zum internen Netzwerk verschaffen.

AquaPurge dient der Spurenbeseitigung. Das Hilfsprogramm durchsucht angegebene Logdateien nach bestimmten Schlüsselbegriffen und entfernt die entsprechenden Zeilen. Technisch nutzt es den „egrep“-Befehl mit invertierter Suchlogik, um sämtliche Einträge ohne die definierten Begriffe zu extrahieren und die bereinigten Daten zurückzuschreiben.

Gegenmaßnahmen und Schutzempfehlungen

Cisco hat umgehend reagiert und spezifische Sicherheitsrichtlinien veröffentlicht. Anwender der betroffenen Systeme sollten die bereitgestellten Handlungsanweisungen prioritär umsetzen. Bei Feststellung von Verbindungen zu den identifizierten Kompromittierungsindikatoren wird die sofortige Eröffnung eines Support-Falls beim Cisco Technical Assistance Center empfohlen.

Das Unternehmen hat sämtliche mit der Kampagne assoziierten Kompromittierungsindikatoren – einschließlich IP-Adressen und Datei-Hashes – produktweit blockiert. Eine vollständige Liste der Indikatoren steht im GitHub-Repository von Cisco Talos zur Verfügung.

Der Cisco Secure Email and Web Manager übernimmt eine zentrale Rolle in der Verwaltungsarchitektur: Er konsolidiert Management- und Reporting-Funktionen für mehrere E-Mail- und Web-Security-Appliances, koordiniert Spam-Quarantäne, Policy-Management, Berichterstellung sowie Konfigurationsverwaltung.

Technische Kompromittierungsindikatoren

AquaTunnel-Hash: 2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef

AquaPurge-Hash: 145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca

Chisel-Hash: 85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc

Identifizierte IP-Adressen:

• 172.233.67.176
• 172.237.29.147
• 38.54.56.95

Die vollständige Dokumentation aller Kompromittierungsindikatoren ist über das offizielle GitHub-Repository von Cisco Talos zugänglich.

Auch interessant:

---