Auf den Punkt: UNC5221 nutzt mehrschichtige Persistenzmechanismen über Microsoft 365, um Netzwerkzugriffe zu bewahren und Erkennung zu erschweren.
Die chinesische Spionagegruppe UNC5221 infiltriert Microsoft-365-Umgebungen mit dem Brickstorm-Backdoor und bisher unbekannten Schadsoftwarevarianten namens Plenet und AgentPSD, um langfristigen Zugriff auf kompromittierte Netzwerke zu sichern.
Die chinesische APT-Gruppe UNC5221 hat eine Kampagne durchgeführt, in der sie verschiedene Backdoors und Schadprogramme einsetzte, um unbefugten Zugriff auf Microsoft-365-Umgebungen zu erlangen und zu bewahren. Neben dem bereits bekannten Brickstorm-Backdoor kamen die bisher nicht dokumentierten Malware-Varianten Plenet und AgentPSD zum Einsatz.
Für CISOs ist diese Aktivität relevant, da sie zeigt, wie Angreifer Cloud-Infrastrukturen und Collaboration-Plattformen als Persistierungsvektoren missbrauchen. Microsoft 365 bietet Angreifern große Angriffsflächen durch schwache Authentifizierung, fehlgeleitete Weiterleitungsregeln und unzureichend überwachte API-Zugriffe. Die Verwendung mehrerer spezialisierter Malware-Varianten deutet auf einen zielgerichteten Ansatz gegen kritische Infrastrukturen oder hochwertige Ziele hin.
Organisationen sollten ihre Microsoft-365-Audit-Logs aktiv überwachen, verdächtige Mail-Weiterleitungen und API-Token prüfen, Multi-Faktor-Authentifizierung für alle Konten erzwingen und verdächtige Anmeldeversuche sowie ungewöhnliche Admin-Aktivitäten schnell untersuchen. Die Analyse dieser neuen Schadsoftwarevarianten trägt zu besserer Erkennung und Abwehr bei.
Quelle: www.bleepingcomputer.com · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.