Warum LNK-basierte Angriffe immer noch unentdeckt bleiben
Ende 2025 veröffentlichte Arctic Wolf Labs Forschungsergebnisse zu einer Spionagekampagne, die sich gegen diplomatische Einrichtungen in Belgien, Ungarn und anderen europäischen Ländern richtete. Der Angreifer, eine mit China in Verbindung stehende Gruppe mit der Bezeichnung UNC6384, nutzte Spear-Phishing-E-Mails, um manipulierte Windows-Verknüpfungsdateien (sogenannte LNK-Dateien) zu versenden, die unter dem Deckmantel legitimer Sitzungen der Europäischen Kommission und NATO-bezogener Workshops getarnt waren.
Wenn ein Empfänger auf die Verknüpfung klickte, löste ein versteckter PowerShell-Befehl eine mehrstufige Infektionskette aus, die schließlich den Fernzugriffstrojaner PlugX installierte. Die Kampagne nutzte die Sicherheitslücke ZDI-CAN-25373 aus, eine im März 2025 bekannt gewordene Schwachstelle in Windows-Verknüpfungen, die die heimliche Ausführung von Befehlen ermöglicht, indem diese hinter Leerzeichen in den Befehlszeilenargumenten einer LNK-Datei versteckt werden.
Die Nutzung durch UNC6384 machte ein allgemeineres Problem deutlich: Verknüpfungsdateien erscheinen den Benutzern nach wie vor als Routine und werden oft weniger genau unter die Lupe genommen als ausführbare Dateien oder makrofähige Dokumente. Sobald eine bösartige LNK-Datei ausgeführt wird, entfaltet sich die gefährlichste Aktivität häufig zur Laufzeit über verschlüsselte Skripte, gestaffelte Archive und den Missbrauch signierter Binärdateien – Bereiche, in denen statische Scans und Reputationsprüfungen oft nicht mithalten können.
Die Kampagne hat sich seitdem kontinuierlich weiterentwickelt. Im April 2026 berichtete The Hacker News, dass dieselbe Bedrohungsgruppe, die branchenweit als TA416 bekannt ist, seit Mitte 2025 erneut europäische Regierungs- und diplomatische Organisationen ins Visier genommen habe. Dabei nutze sie neue Übertragungsmethoden wie den Missbrauch von OAuth-Weiterleitungen, Cloudflare-Turnstile-Challenge-Seiten und MSBuild-basierte Ausführung und aktualisiere gleichzeitig weiterhin ihre PlugX-Nutzlast.
Die in diesem Artikel untersuchte „Arctic Wolf“-Studie beleuchtet eine Phase einer mittlerweile dokumentierten, laufenden Operation und zeigt, wie MetaDefender und die Deep CDR™-Technologie gemeinsam die Lücke zwischen Erkennung und Prävention schließen.
Die Angriffskette des UNC6384
Alles begann mit einer Datei, die die meisten Nutzer niemals hinterfragen würden. Die im Rahmen dieser Kampagne versendete LNK-Datei mit dem Namen „Agenda_Meeting 26 Sep Brussels.lnk“ war gerade einmal 2,58 KB groß und bezog sich auf eine echte Sitzung der Europäischen Kommission zur Erleichterung des freien Warenverkehrs an den Grenzübergängen zwischen der EU und dem Westbalkan. Es handelte sich um die tatsächliche Tagesordnung einer realen Veranstaltung, mit einer Verknüpfung, die ganz gewöhnlich aussah.
Phase 1: Erster Zugriff über eine schädliche LNK-Datei
Als der Empfänger auf die Verknüpfung doppelklickte, wurde im Hintergrund PowerShell mit einem verschleierten Befehl aufgerufen, der ein tar-Archiv (rjnlzlkfe.ta) entschlüsselte und in das lokale Temp-Verzeichnis des Benutzers extrahierte. Der PowerShell-Befehl entpackte das Archiv anschließend mit tar.exe und startete den Inhalt, während gleichzeitig eine PDF-Datei als Ablenkungsmanöver geöffnet wurde, die die eigentliche Tagesordnung der Besprechung zeigte. Das Opfer sah ein Dokument. Der Angreifer erlangte Codeausführung.
Schritt 2: DLL-Sideloading über eine legitime, signierte Binärdatei
Das entpackte Archiv enthielt drei Dateien: cnmpaui.exe, cnmpaui.dll und cnmplog.dat. Bei der ersten handelt es sich um ein legitimes Canon-Druckerassistenzprogramm, das von Canon Inc. mit einem von Symantec ausgestellten Zertifikat digital signiert wurde. Die Signatur ist gültig, da sie mit einem Zeitstempel versehen wurde, als das Zertifikat noch aktiv war. Das bedeutet, dass Windows der Binärdatei weiterhin vertraut, obwohl das Zertifikat selbst bereits 2018 abgelaufen ist (Arctic Wolf).
Hier kommt es auf Präzision an. Die EXE-Datei ist nicht schädlich. Es handelt sich um ein echtes Canon-Dienstprogramm, das für einen bestimmten Zweck missbraucht wird: Wenn „cnmpaui.exe“ ausgeführt wird, sucht es zunächst in seinem eigenen Verzeichnis nach „cnmpaui.dll“, bevor es die Systempfade überprüft. Indem UNC6384 eine schädliche DLL mit demselben Namen neben der legitimen Binärdatei platzierte, manipulierte es diese Suchreihenfolge und lud seinen eigenen Code in einen vertrauenswürdigen Prozess.
Phase 3: Entschlüsselung der Nutzlast und Ausführung von PlugX
Die schädliche Datei „cnmpaui.dll“ ist ein schlanker Loader, der in der Variante vom Oktober 2025 nur 4 KB groß ist und ausschließlich dazu dient, die dritte Datei „cnmplog.dat“ zu entschlüsseln und auszuführen. Bei dieser Datei handelt es sich um einen RC4-verschlüsselten Blob, der den Fernzugriffstrojaner PlugX enthält. Der Loader entschlüsselt sie mithilfe eines fest codierten 16-Byte-Schlüssels und ordnet die resultierende Nutzlast direkt dem Speicherbereich des legitimen Prozesses „cnmpaui.exe“ zu.
Von diesem Zeitpunkt an läuft PlugX innerhalb einer signierten, vertrauenswürdigen Binärdatei. Es stellt Persistenz über einen Registrierungs-Run-Schlüssel namens „CanonPrinter“ her, erstellt versteckte Verzeichnisse mit Namen wie „SamsungDriver“ oder „DellSetupFiles“, um sich in die Umgebung einzufügen, und kommuniziert über HTTPS auf Port 443 mit der Command-and-Control-Infrastruktur, wobei es zufällige URL-Pfade und eine gefälschte Internet Explorer-User-Agent-Zeichenkette verwendet, um sich in den normalen Web-Datenverkehr einzufügen.
Vom ersten Klick bis hin zur aktiven Hintertür wirkte auf den ersten Blick nichts in dieser Kette offensichtlich bösartig, und das meiste wirklich verdächtige Verhalten zeigte sich erst zur Laufzeit. Jede Phase war so konzipiert, dass sie bei einer statischen Überprüfung normal erschien und dort ausgeführt wurde, wo herkömmliche Filter nicht suchten.
Warum statische Abwehrmechanismen mit dieser Kette zu kämpfen haben
Statische Abwehrmaßnahmen haben mit dieser Kette zu kämpfen, da jede einzelne Stufe so konzipiert ist, dass sie für sich genommen harmlos wirkt. Was die Kampagne so effektiv macht, ist nicht eine einzelne offensichtlich schädliche Datei, sondern eine Abfolge vertrauenswürdig erscheinender Komponenten, deren wahre Absicht erst zur Laufzeit sichtbar wird. Dieses Muster beschränkt sich nicht nur auf Verknüpfungsdateien: Angreifer haben Payloads auch in scheinbar harmlosen Bilddateien versteckt und diese mit LNK-basierten Übertragungsmechanismen kombiniert, um die Erkennung durch herkömmliche Antivirenprogramme zu umgehen.
Warum statische Abwehrmechanismen mit dieser Kette zu kämpfen haben
| Bühne | Was der Verteidiger sieht | Warum es die Prüfung besteht |
|---|---|---|
| Schädliche LNK-Datei | Eine 2,58 KB große Verknüpfungsdatei, die auf ein diplomatisches Treffen verweist | LNK-Dateien gelten standardmäßig als risikoarm; ZDI-CAN-25373 verbirgt den PowerShell-Befehl hinter Leerzeichen, die von den meisten Metadaten-Prüfprogrammen nicht ausgewertet werden. |
| Unterzeichnet von Canon EXE | Eine legitime PE32-Binärdatei mit einer gültigen, mit einem Zeitstempel versehenen digitalen Signatur eines anerkannten Herausgebers | Eine Blockierung würde jede Umgebung kennzeichnen, auf der Canon-Druckersoftware läuft. Reputations-Engines haben keinen Grund, ihr zu misstrauen. |
| 4-KB-Loader-DLL | Eine minimale DLL ohne offensichtlich verdächtige Importe, deren einzige Aufgabe darin besteht, Daten zu lesen, zu entschlüsseln und die Ausführung weiterzugeben | YARA-Regeln können bekannte Varianten erkennen, doch ein neu kompilierter Loader mit einem anderen Schlüssel oder einer anderen Entschlüsselungsroutine entgeht der statischen Abdeckung. |
| Verschlüsselte PlugX-Nutzlast | Ein undurchsichtiger .dat-Blob, der in entschlüsselter Form niemals auf die Festplatte gelangt | Beim dateibasierten Scannen wird die eigentliche Malware nie überprüft. Die Schadcode-Nutzlast wird direkt in den Speicherbereich des vertrauenswürdigen Canon-Prozesses geladen. |
Genau diese Lücke zwischen dem, was statische Tools prüfen können, und dem, was tatsächlich zur Laufzeit geschieht, nutzen ausweichende Kampagnen aus. Um diese Lücke zu schließen, bedarf es eines Erkennungsansatzes, der den gesamten Ausführungsweg – vom ersten Start der Datei bis hin zu jeder nachfolgenden Phase – überwacht und eine Bewertung auf der Grundlage des Verhaltens statt der äußeren Erscheinung vornimmt.
Wie MetaDefender die gesamte Kette aufdeckt
MetaDefender ist die einheitliche Zero-Day-Erkennungslösung OPSWAT, die vier Analyseebenen kombiniert, um jede Datei aus verschiedenen Blickwinkeln zu prüfen, bevor ein einziges verlässliches Ergebnis ausgegeben wird.
- Bei der Überprüfung der Bedrohungsreputation werden die Hashwerte, Metadaten und eingebetteten Indikatoren der Datei mit globalen Erkenntnissen aus über 50 Milliarden Indikatoren abgeglichen. Auf diese Weise lässt sich feststellen, was bereits bekannt ist, und dem Unbekannten ein Kontext zuweisen.
- Adaptive führt die Datei dann in einer emulierten Umgebung aus und beobachtet den Ablauf: die LNK-Datei startet PowerShell, der verschlüsselte Befehl entschlüsselt ein tar-Archiv, die signierte Canon-Binärdatei lädt eine unsignierte DLL, und die entschlüsselte PlugX-Nutzlast sorgt für Persistenz und stellt eine Verbindung zur C2-Infrastruktur (Command-and-Control) her.
- Die Bedrohungsbewertung fasst diese Ergebnisse, Reputationssignale und extrahierte Indikatoren zu einer gewichteten Risikobewertung zusammen, die den gesamten Verhaltenskonttext berücksichtigt.
- Die ML-basierte Ähnlichkeitssuche vergleicht die Datei und ihr Verhalten mit bekannten Malware-Familien und damit verbundenen Aktivitäten und hilft so dabei, Verbindungen zu PlugX-Varianten oder ähnlichen DLL-Sideloading-Kampagnen aufzudecken.
Insgesamt bietet die Pipeline eine Erkennungsrate von bis zu 99,9 % bei Zero-Day-Bedrohungen und liefert für jede Datei ein einziges verlässliches Ergebnis, anstatt die SOC-Analysten dazu zu zwingen, separate Berichte manuell abzugleichen. Das ist entscheidend, wenn Teams täglich Hunderte von Dateien aus E-Mails, MFT, ICAP, Kiosksystemen, Speichersystemen und domänenübergreifenden Workflows prüfen müssen.
Ein wesentliches Unterscheidungsmerkmal dieser Kette ist die Emulation auf Befehlsebene. Ältere VM-basierte Sandboxen können Malware übersehen, die Anti-VM-Umgehungstechniken, Zeitverzögerungen und Umgebungsprüfungen einsetzt, um eine vollständige Ausführung zu verhindern. Das adaptive Sandboxing MetaDefender emuliert das Verhalten von CPU und Betriebssystem auf Befehlsebene, wodurch die gesamte Sequenz vom LNK-Datei über PowerShell bis hin zum Sideloading der DLL aufgedeckt werden kann.
Für SOC-Teams liegt der Nutzen ganz konkret darin:
- Schnellere Triage, da die Bewertung bereits korreliert und nach dem MITRE-Schema zugeordnet ist
- Konsequentere Sperrentscheidungen, da das Urteil das Verhalten zur Laufzeit widerspiegelt und nicht nur die statische Reputation
- Weniger Fehlalarme, da MetaDefender zwischen einer legitimen, signierten Binärdatei, die missbraucht wird, und einer tatsächlich bösartigen Nutzlast unterscheiden kann
- Bessere Vorbereitung auf Zero-Day-Angriffe an allen Punkten der Dateieingabe, über die diese Angriffe in die Umgebung gelangen
Wie die Deep CDR™-Technologie den Auslöser neutralisiert
Die Deep CDR™-Technologie unterbricht diese Kette, bevor sie überhaupt beginnt, indem sie die Datei unschädlich macht, die den gesamten Prozess in Gang setzt. Während MetaDefender aufdeckt, was eine schädliche Datei zur Laufzeit tut, sorgt die Deep CDR™-Technologie dafür, dass die Datei gar nicht erst die Chance erhält, ausgeführt zu werden.
Der Mechanismus ist spezifisch für die Funktionsweise von LNK-basierten Angriffen. Eine als Waffe eingesetzte Verknüpfung trägt ihre böswillige Absicht in eingebetteten Befehlszeilenargumenten in sich, in diesem Fall in dem verschlüsselten PowerShell-Aufruf, der das tar-Archiv entpackt und die Payload-Kette startet. Die Deep CDR™-Technologie identifiziert diesen eingebetteten Befehl und ersetzt ihn durch einen harmlosen Dummy-Befehl, wodurch die Verknüpfung in bereinigter Form erhalten bleibt, während ihre Fähigkeit, als Angriffsauslöser zu fungieren, entfernt wird.
Das Ergebnis ist ein bereinigter LNK-Workflow, bei dem das ursprüngliche schädliche Verhalten vor der Ausführung neutralisiert wird. Keine PowerShell-Ausführung, kein Entpacken von Archiven, kein Sideloading von DLLs, kein PlugX. Zusammen bilden MetaDefender und die Deep CDR™-Technologie ein zweistufiges Verteidigungsmodell.
Zweistufiges Verteidigungsmodell
| Ebene | Technologie | Rolle |
|---|---|---|
| Erkennen und verstehen | MetaDefender Aether | Löst die Datei aus, legt den gesamten mehrstufigen Ausführungspfad offen, extrahiert verhaltensbasierte IOCs und gibt ein einziges vertrauenswürdiges Ergebnis zurück. |
| Entwaffnen und verhindern | Deep CDR™-Technologie | Neutralisiert den schädlichen LNK-Befehl und verhindert so, dass die Verknüpfung ausgeführt wird. |
Dieser Unterschied ist in der Praxis von Bedeutung. MetaDefender ist die Zero-Day-Erkennungslösung für Dateien, die einer eingehenden Analyse bedürfen – insbesondere wenn es darum geht, das Laufzeitverhalten zu verstehen und eine verlässliche Einstufung vorzunehmen. Die Deep CDR™-Technologie dient der Bereinigung und Prävention bei Dateien, deren Inhalt sicher entschärft werden kann, ohne die legitime Nutzung zu beeinträchtigen. Zusammen decken sie beide Aspekte des Problems ab: zu verstehen, was eine Bedrohung tut, und sicherzustellen, dass sie niemals die Gelegenheit dazu erhält.
Warum Präzision wichtig ist
Genauigkeit ist wichtig, denn nicht jede Datei in einer Angriffskette ist bösartig, und wenn man sie alle gleich behandelt, führt dies zu einer zu weit gefassten Erkennung, die das Vertrauen in Ihre Tools untergräbt. Diese Kampagne macht das deutlich.
Das signierte Canon-Drucker-Dienstprogramm (cnmpaui.exe) ist eine legitime Binärdatei. Es verfügt über eine gültige digitale Signatur, einen einwandfreien Ruf und einen Hash-Wert, der mit legitimer Software in Verbindung steht. Würde man es als bösartig einstufen, würde dies in Umgebungen, in denen Canon-Druckersoftware installiert ist, zu Fehlalarmen führen und dazu führen, dass SOC-Analysten den erhaltenen Warnmeldungen misstrauen.
Die wichtigsten IOCs (Indikatoren für eine Kompromittierung) sind die schädliche DLL (cnmpaui.dll) und die damit ausgelöste Verhaltenskette:
- Seitliches Laden und Entschlüsseln einer verschlüsselten Nutzlast mit einem fest codierten RC4-Schlüssel
- Einbinden der entschlüsselten PlugX-Binärdatei in den Speicherbereich eines vertrauenswürdigen Prozesses
- Persistenz über einen „CanonPrinter“-Run-Schlüssel herstellen
- Initiieren von HTTPS-C2-Datenverkehr mit zufälligen URL-Pfaden und einer gefälschten User-Agent-Zeichenkette
Das sind die Signale, auf die es am meisten ankommt, und sie treten nur dann zutage, wenn ein Erkennungswerkzeug das Verhalten beobachten und zwischen einer missbrauchten vertrauenswürdigen Binärdatei und einem tatsächlich bösartigen Artefakt unterscheiden kann.
Hier kommt der einheitliche, vertrauenswürdige Befund MetaDefender besonders zum Tragen. Anstatt jede Datei in der Kette pauschal als „bösartig“ einzustufen, bewertet die Erkennungs-Pipeline jede Komponente anhand ihres beobachteten Verhaltens im gesamten Ausführungskontext.
Die signierte EXE-Datei wird als legitime Binärdatei erkannt, die zum Sideloading verwendet wird. Die DLL und das von ihr verursachte Laufzeitverhalten werden als die eigentliche Bedrohung identifiziert. Diese Unterscheidung verschafft Sicherheitsteams einen klareren Überblick und reduziert den manuellen Aufwand, der erforderlich ist, um relevante Signale von Störsignalen zu unterscheiden.
Die statische Erkennung der schädlichen DLL lässt sich zudem durch gezielte Regeln wie YARA verbessern, wobei die von Arctic Wolf veröffentlichten YARA-Signaturen für den CanonStager-Loader einen nützlichen Ausgangspunkt darstellen. Die Signaturerkennung ist jedoch naturgemäß reaktiv. In einer solchen Kette liegt der eigentliche Unterschied in der Verhaltensanalyse sowie der Dateineutralisierung.
Anwendung mehrschichtiger Dateisicherheit zur Aufdeckung von LNK-basierten Angriffsketten
Angriffe über LNK-Dateien funktionieren nach wie vor, weil sie auf einen Dateityp setzen, den die Menschen täglich sehen und selten als gefährlich einstufen. In einem früheren Artikel haben wir darauf hingewiesen, dass LNK-Dateien gewöhnliche Windows-Verknüpfungen sind, die Angreifer als Waffe einsetzen können, indem sie PowerShell- oder cmd.exe-Befehle darin verstecken – manchmal auf eine Weise, die harmlos wirkt, bis die Datei tatsächlich geöffnet wird. Genau deshalb sind Kampagnen wie die von UNC6384 weiterhin erfolgreich: Die Verknüpfung sieht vertraut aus, aber das Verhalten, das sie auslöst, ist alles andere als das.
Dieses Muster hat sich über mehrere Kampagnen hinweg bestätigt. In unserer Berichterstattung zu Emotet haben wir erläutert, warum sich Verknüpfungsdateien nur schwer von normalen Dokumenten unterscheiden ließen und dass ihre Dateiendung unter Windows standardmäßig nicht angezeigt wurde. Dies machte sie als Übertragungsvektoren besonders effektiv. Die Erkenntnis ist auch hier dieselbe: Angreifer benötigen keinen brandneuen Trick, wenn sich ein bekannter Dateityp nach wie vor in alltägliche Arbeitsabläufe einschleichen und eine mehrstufige Infektionskette auslösen kann.
Die Lösung besteht nicht darin, jede Datei in der Kette als bösartig einzustufen. Vielmehr geht es darum, eine mehrschichtige Dateisicherheit einzusetzen, die das Laufzeitverhalten aufdeckt, zwischen einer missbrauchten legitimen Binärdatei und einer bösartigen Nutzlast unterscheidet und den Auslöser stoppt, bevor er aktiv wird. Sprechen Sie mit einem OPSWAT darüber, wie MetaDefender und die Deep CDR™-Technologie Ihrem Team dabei helfen können, LNK-basierte Angriffe zu erkennen, zu analysieren und zu verhindern.
