SecBoard
Zurück zur Übersicht
ManagerRed-TeamerNetwork

Tropic Trooper Uses Trojanized SumatraPDF and GitHub to Deploy AdaptixC2

The Hacker News·
Originalartikel lesen bei The Hacker News

Ein neuer Angriffskampagnen von Tropic Trooper zielt auf chinesischsprachige Benutzer mit einer verfälschten Version des SumatraPDF-Readers ab, um den AdaptixC2 Beacon zu installieren. Dieser ermöglicht es Angreifern, Microsoft Visual Studio Code-Tunnels für Remote-Zugriff zu missbrauchen. Zscaler ThreatLabz hat diese Aktivität im letzten Monat entdeckt und der Angriff richtet sich vor allem gegen chinesische Sprachbenutzer. Benutzer sollten ihre PDF-Reader auf dem neuesten Stand halten und Verdachtsfälle von VS Code-Tunneln überprüfen lassen.

Kurzfassung

Tropic Trooper zielt mit einer trojanisierten Version des SumatraPDF-Readers auf chinesischsprachige Nutzer. Die Kampagne installiert den AdaptixC2 Beacon und ermöglicht den Missbrauch von Microsoft Visual Studio Code-Tunneln für Remote-Zugriff. Zscaler ThreatLabz entdeckte die Aktivität im letzten Monat.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Vor allem chinesischsprachige Nutzer.

Warum relevant

Trojanisierte Software und legitime Remote-Tunnel können Erkennung erschweren und unautorisierten Zugriff ermöglichen.

Realistisches Worst Case

Ein Nutzer installiert den trojanisierten PDF-Reader, wodurch AdaptixC2-Beaconing und Remote-Zugriff über VS-Code-Tunnel möglich werden.

Handlungsempfehlung

PDF-Reader aus vertrauenswürdigen Quellen beziehen, Installationen prüfen und verdächtige VS-Code-Tunnel untersuchen.

Defensive Validierung / Purple-Team Checks
  • Defensiver Check 1: Endpunkte auf nicht autorisierte oder ungewöhnliche SumatraPDF-Installationen prüfen.
  • Defensiver Check 2: Netzwerk- und Endpoint-Telemetrie auf unerwartete Visual-Studio-Code-Tunnel untersuchen.
  • Defensiver Check 3: Erkennung für AdaptixC2-Beacon-Verhalten anhand verfügbarer defensiver Telemetrie validieren.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1204.002 User Execution: Malicious FileMediumDie Kampagne nutzt eine verfälschte Version des SumatraPDF-Readers.
Command and ControlT1105 Ingress Tool TransferLowDer Artikel erwähnt die Installation des AdaptixC2 Beacon, aber keine Transferdetails.
Command and ControlT1219 Remote Access SoftwareMediumMicrosoft Visual Studio Code-Tunnels werden für Remote-Zugriff missbraucht.
Offene Punkte
  • Konkrete Hashes, Domains oder IP-Adressen werden nicht im Artikel angegeben.
  • Die Verbreitungsmethode des trojanisierten Readers wird nicht im Artikel angegeben.
  • Konkrete betroffene Organisationen oder Länder außer chinesischsprachigen Nutzern werden nicht angegeben.
Vollständigen Artikel lesen bei The Hacker News

Verwandte Artikel

Webinar: Fixing the gaps in network incident response

BleepingComputer·vor etwa 1 Stunde

Microsoft Patches 137 Vulnerabilities

SecurityWeek·vor etwa 3 Stunden

Exaforce Raises $125 Million for Agentic SOC Platform

SecurityWeek·vor etwa 4 Stunden

Škoda warns of customer data breach after online shop hack

BleepingComputer·vor etwa 4 Stunden

Adobe Patches 52 Vulnerabilities in 10 Products

SecurityWeek·vor etwa 4 Stunden