Shadow Campaigns kompromittiert 70 Organisationen in 37 Ländern und belegt laut Unit 42, wie eine einzelne Cyberespionage-Operation innerhalb eines Jahres in einer außergewöhnlichen Breite staatliche und kritische Strukturen treffen kann.
Shadow Campaigns kompromittiert 70 Organisationen in 37 Ländern
Der Bericht von Palo Alto Networks Unit 42 vom 5. Februar 2026 beschreibt eine seit Januar 2024 aktive Kampagnenserie, die Unit 42 unter den Clusternamen TGR-STA-1030 und UNC6619 führt. Unit 42 bewertet den Akteur als staatlich ausgerichtet und als aus Asien operierend. Als Indizien nennt der Bericht unter anderem Muster in Spracheinstellungen, Zielauswahl und Timing entlang regionaler Interessen sowie wiederkehrende Aktivitätsfenster, die mit GMT+8 korrelieren. Im Angreifer-Umfeld taucht zudem der Handle „JackMa“ auf.
Der Kernbefund bleibt die Skalierung. Shadow Campaigns kompromittiert 70 Organisationen in 37 Ländern innerhalb eines Zwölfmonatszeitraums. Unit 42 stellt diese Zahl als bestätigte Kompromittierungen über eine große geografische Breite dar und ordnet sie als ungefähr jedes fünfte Land ein. Zusätzlich beobachtete Unit 42 zwischen November und Dezember 2025 Reconnaissance gegen Regierungsinfrastruktur, die mit 155 Ländern in Verbindung stand. Betroffene Stellen wurden benachrichtigt, außerdem wurden Indikatoren vorab mit Industriepartnern geteilt.
Warum „70 in 37“ mehr ist als eine Schlagzeile
Shadow Campaigns kompromittiert 70 Organisationen in 37 Ländern nicht durch einen einzelnen Exploit oder ein singuläres Phishing-Muster, sondern durch ein reproduzierbares Operationsdesign. Genau das macht die Zahlen sicherheitspolitisch relevant. Unit 42 beschreibt bei mehreren Opfern eine längere Verweildauer und eine Opferklasse, die überwiegend aus Regierungsministerien, Behörden, nationalen Parlamenten sowie nationalen Telekommunikations- und Sicherheitsstrukturen besteht. Darunter nennt der Report ausdrücklich nationale Strafverfolgungs- und Grenzschutzorganisationen sowie Finanzministerien, ergänzt um Ressorts mit Zuständigkeiten für Wirtschaft, Handel, natürliche Ressourcen und diplomatische Funktionen.
Für eine sachgerechte Einordnung ist eine klare Trennlinie wichtig. Reconnaissance ist eine Vorstufe, aber kein Beleg für eine erfolgreiche Kompromittierung jedes gescannten Systems. Der Unit-42-Bericht berichtet beide Ebenen getrennt. Ebenso beziffert der Report keine monetäre Schadenssumme. Für belastbare Kommunikation ist deshalb präziser, von bestätigten Einbrüchen, Spionageabsicht und Risiken für staatliche Funktionen zu sprechen, statt „Schaden“ zu quantifizieren.
Initialzugang über Phishing und Filehosting im Februar 2025
Unit 42 stieß auf Shadow Campaigns zunächst über Phishing-Kampagnen, die im Februar 2025 europäische Regierungen adressierten. Die Lures bezogen sich auf angebliche Reorganisationen von Ministerien oder Behörden. Links führten zu ZIP-Archiven auf mega[.]nz, wobei Benennung und Sprache jeweils an die Zielinstitution angepasst waren. In den Archiven fand Unit 42 ein ausführbares Programm mit identischem Namen wie das ZIP sowie eine Null-Byte-Datei pic1.png. Aus den Metadaten leitet Unit 42 eine Dateiversion 2025.2.13.0 ab; als Originalname wird DiaoYu.exe genannt, was Unit 42 als inhaltliche Anspielung auf „Fishing“ und damit Phishing interpretiert.
Technisch auffällig ist die Anti-Analyse-Logik, die Unit 42 als Guardrails beschreibt. Der Loader verlangt eine horizontale Bildschirmauflösung von mindestens 1440 Pixeln und prüft zusätzlich das Vorhandensein von pic1.png im Ausführungsverzeichnis. Fehlt diese Datei, beendet sich der Prozess kontrolliert, bevor sichtbares Schadverhalten entsteht. Erst danach auditiert die Malware den Host auf ausgewählte Security-Produkte und sucht dabei explizit nach mehreren Prozessnamen wie Avp.exe, SentinelUI.exe und NortonSecurity.exe. Unit 42 hebt hervor, dass diese Auswahl ungewöhnlich eng ist und die Motivation dafür unklar bleibt.
Nach den Prüfungen lädt die Malware laut Unit 42 mehrere Dateien von GitHub nach, darunter Bilddateien aus einem inzwischen nicht mehr verfügbaren Repository. Diese Artefakte werden anschließend so verarbeitet, dass am Ende ein Cobalt-Strike-Payload installiert wird. Der Ablauf entspricht einem Loader-Pattern, bei dem scheinbar harmlose Ressourcen als Bausteine dienen, um die eigentliche Nutzlast zusammenzusetzen und Detektion zu erschweren.
N-day-Exploits statt Zero-Days
Unit 42 betont, dass im Beobachtungszeitraum keine Zero-Day-Entwicklung oder -Nutzung beobachtet wurde. Stattdessen kombiniert der Akteur Reconnaissance mit Exploit-Versuchen gegen bekannte Schwachstellen und nutzt dafür verbreitete Tools, Exploitation-Kits und Proof-of-Concept-Code. Der Report nennt Versuche gegen unterschiedliche Serverkomponenten und Plattformen, darunter auch Microsoft Exchange Server sowie weitere RCE-, Directory-Traversal- und Injection-Klassen in diversen Produkten.
Ein konkretes, technisch gut nachvollziehbares Beispiel ist CVE-2019-11580 in Atlassian Crowd. Unit 42 beschreibt einen Exploit-Versuch gegen e-Passport- und e-Visa-Services eines Außenministeriums, bei dem der Akteur eine Datei namens rce.jar hochlädt. Atlassian führt CVE-2019-11580 als kritische Schwachstelle für betroffene Versionen von Crowd und Crowd Data Center. Der offizielle CVE-Record beschreibt die Angriffslogik als Möglichkeit, beliebige Plugins zu installieren, was Remote Code Execution auf verwundbaren Instanzen ermöglicht. Ergänzende Metadaten zur Schwachstelle sind im NVD-Eintrag verfügbar.
Persistenz durch eBPF im Kernel, ShadowGuard als Stealth-Komponente
Für Verteidiger ist besonders relevant, dass Unit 42 bei Shadow Campaigns nicht nur Initialzugang und Exploits beschreibt, sondern Kernel-nahe Persistenz. Unit 42 dokumentiert ein Linux-eBPF-Rootkit namens ShadowGuard, das im Kernel-Space läuft und dadurch schwer zu erkennen ist. Der Bericht beschreibt Kernel-Level Concealment, Prozess-Hiding über Interception-Mechanismen sowie das Verbergen von Dateien oder Verzeichnissen mit dem Namen swsecret. ShadowGuard prüft beim Start unter anderem Root-Rechte, eBPF-Unterstützung und Tracepoint-Support. Damit erweitert der Akteur die Operation um eine Fähigkeit, die klassische User-Space-Detektion und Sichtbarkeitsannahmen unterläuft.
Auch die C2-Landschaft ist im Report als variabel beschrieben. Unit 42 sieht in frühen Phasen häufig Cobalt Strike und später VShell als bevorzugtes C2-Framework. Ergänzend nennt der Bericht weitere Frameworks und Webshells. Operativ bedeutet das, dass Erkennung nicht auf ein einzelnes Tool-Signature-Set reduziert werden sollte, sondern auf TTPs, Infrastrukturmuster und anomale Administrator- und Prozesspfade.
Prioritäten für Security Teams
- Phishing-Abwehr in Behördenprozessen verschärfen, besonders bei Lures zu Reorganisationen und bei extern gehosteten ZIP-Archiven. Sinnvoll sind harte Richtlinien für URL- und Attachment-Handling, Threat-Inspection und Awareness für ministerielle Workflows.
- Attack Surface Management für internetexponierte Systeme priorisieren. Der Unit-42-Report zeigt, dass N-day-Schwachstellen ein skalierbarer Initial-Access-Pfad bleiben, sobald Angriffsflächen dauerhaft erreichbar sind.
- Linux-Telemetrie und Hunting um Kernel-nahe Signale erweitern. eBPF-Rootkits laufen ohne klassische Kernel-Module und können Sichtbarkeitsannahmen unterlaufen, daher sind Integritätsprüfungen, Kernel-Auditing und konsequente Baseline-Kontrollen zentral.
- Incident Response auf längere Verweildauer ausrichten. Dazu gehören ausreichende Log-Retention, Credential-Hygiene, Detektion lateraler Bewegung und klare Maßnahmen zur Re-Entry-Vermeidung nach Containment.
Fazit
Shadow Campaigns kompromittiert 70 Organisationen in 37 Ländern und zeigt damit eine operative Reife, die sich aus einem stabilen Dreiklang speist. Phishing über Filehosting liefert Initialzugänge, N-day-Exploitation erweitert Reichweite und eBPF-basierte Kernel-Persistenz erhöht Stealth und Verweildauer. Für Behörden und Betreiber kritischer Dienste ist der Befund ein konkretes Signal, dass Resilienz gegen großflächige Cyberespionage nicht nur Governance braucht, sondern durchgängige technische Kontrollen, konsequentes Patch-Management und Kernel-nahe Sichtbarkeit.
