Auf den Punkt: TencShell-Backdoor verschleiert C2-Verkehr als Tencent-API-Anfragen, um Erkennung zu vermeiden und ermöglicht Fernzugriff, Datendiebstahl und Netzwerkbewegung.
Ein neu entdeckter Go-basierter Backdoor-Trojaner namens TencShell verschleiert seinen Command-and-Control-Verkehr als API-Anfragen an Tencent und wird mutmaßlich von chinesischen Akteuren eingesetzt. Die Malware ermöglicht Fernzugriff, Datenabzug und seitwärtige Netzwerkbewegung.
TencShell ist ein in Go geschriebener Backdoor-Trojaner, der seinen C2-Verkehr durch Verschleierung als API-Anfragen an die chinesische Plattform Tencent tarnt. Diese Technik soll Netzwerkerkennung und Sicherheitsanalyse erschweren, indem der Malware-Traffic wie legitimer Geschäftsverkehr zu einem bekannten Dienst aussieht.
Für CISO-Teams ist die Variante relevant, weil sie mehrere Angriffsmuster kombiniert: Sie stellt Fernzugriffsfähigkeiten für Akteuren bereit, ermöglicht präzisierten Datendiebstahl und unterstützt laterale Netzwerkbewegung zur Ausbreitung innerhalb von Umgebungen. Das Verschleierungsmuster — der Missbrauch legitimer API-Endpoints bekannter Unternehmen — erschwert traditionelle signaturbasierte Erkennung und erfordert verhaltensmäßige Analyse oder TLS-Inspektion.
Eine wirksame Abwehr kombiniert Netzwerk-Monitoring auf seitwärtigen Datenströmen, Endpoint-Detection-and-Response für verdächtige Go-Prozessausführung, erhöhte Zugangskontrollen und Segmentierung gegen laterale Bewegung sowie regelmäßige Threat-Hunts nach C2-Kommunikationsmustern — auch wenn diese als APIs kaschiert sind.
Quelle: www.security-insider.de · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.