Japan wurde mit einer neuen Welle von Cyberangriffen konfrontiert, bei denen CrossC2 zum Einsatz kam – ein Tool zur Erweiterung der Funktionen von Cobalt Strike auf Linux- und macOS-Plattformen. Das Koordinierungszentrum JPCERT/CC teilte mit, dass diese Angriffe von September bis Dezember 2024 stattfanden und mehrere Länder betrafen, darunter auch Japan.
Eine Analyse der bei VirusTotal hochgeladenen Artefakte ergab, dass die Angreifer CrossC2 mit anderen Tools wie PsExec, Plink und Cobalt Strike selbst kombinierten, um in die Active Directory-Infrastruktur einzudringen. Zum Herunterladen von Cobalt Strike wurde eine speziell entwickelte Schadsoftware namens ReadNimeLoader verwendet.
CrossC2 ist eine inoffizielle Version von Beacon und dessen Builder, mit der Cobalt Strike-Befehle auf verschiedenen Betriebssystemen ausgeführt werden können, nachdem eine Verbindung zu einem in der Konfiguration festgelegten Remote-Server hergestellt wurde. In den dokumentierten Fällen erstellten die Angreifer auf den infizierten Rechnern eine geplante Aufgabe zum Starten der legitimen ausführbaren Datei java.exe, die zum seitlichen Laden von ReadNimeLoader in die Bibliothek „jli.dll“ verwendet wurde.
ReadNimeLoader selbst ist in der Sprache Nim geschrieben und lädt den Inhalt einer Textdatei in den Speicher, ohne Daten auf die Festplatte zu schreiben. Der geladene Code ist OdinLdr – ein offener Shellcode-Loader, der den integrierten Beacon Cobalt Strike decodiert und ebenfalls im Speicher ausführt. Der Mechanismus umfasst Anti-Debugging- und Anti-Analyse-Techniken, die eine Dekodierung von OdinLdr vor einer vollständigen Überprüfung der Umgebung verhindern.
JPCERT/CC stellte Ähnlichkeiten dieser Kampagne mit den Aktivitäten der BlackSuit/Black Basta-Betreiber fest, über die Rapid7 im Juni 2025 berichtet hatte. Übereinstimmungen wurden in der verwendeten Domäne des Befehlsservers und in den Dateinamen festgestellt. Zusätzlich wurden mehrere ELF-Versionen des Backdoors SystemBC entdeckt, der häufig der Installation von Cobalt Strike und der Bereitstellung von Ransomware vorausgeht.
Besondere Aufmerksamkeit widmeten die Experten der Tatsache, dass die Angreifer Linux-Server innerhalb von Unternehmensnetzwerken aktiv kompromittierten. Viele dieser Systeme sind nicht mit EDR-Lösungen oder ähnlichen Erkennungsmitteln ausgestattet, was sie zu einem günstigen Einstiegspunkt für die weitere Entwicklung des Angriffs macht. Dies erhöht das Risiko einer groß angelegten Infiltration und erfordert eine verstärkte Kontrolle solcher Infrastruktursegmente.
