Sicherheit & Cyberabwehr

TencShell: Backdoor-Trojaner tarnt C2-Verkehr als Tencent-API-Anfragen

03.07.2026 3 Min. Lesezeit
Alle Artikel

Tarnung als Tencent-API-Verkehr

Sicherheitsforscher des Cato Networks Cyber Threats Research Lab (CTRL) haben einen neuen Go-basierten Backdoor-Trojaner entdeckt, der seinen Command-and-Control-Verkehr als legitime API-Anfragen an den chinesischen Technologiekonzern Tencent verkleidet. Die Schadsoftware trägt den Namen TencShell und wurde bei einem gezielten Angriff auf einen globalen Industriehersteller abgefangen, bevor sie sich dauerhaft im Netzwerk festsetzen konnte.

TencShell basiert auf dem quelloffenen C2-Framework Rshell und wurde von unbekannten Angreifern zu einem vollwertigen Post-Exploitation-Implantat weiterentwickelt. Der Name erklärt sich aus der doppelten Natur der Malware: „Tenc" steht für die gefälschten Tencent-API-Kommunikationspfade, „Shell" beschreibt die Fernzugriffsfunktionen. Anstatt offensichtliche Callback-Pfade zu verwenden, kommuniziert TencShell über strukturierte, API-ähnliche Endpunkte, die reguläre Backend-Dienste imitieren. So ist der bösartige Datenverkehr im normalen Unternehmensnetz kaum von echtem Anwendungsverkehr zu unterscheiden.

Infektionskette in mehreren Stufen

Die genaue Infektionsquelle ist ungeklärt. Klassische Einstiegswege wie Phishing, manipulierte Downloads oder webbasierte Exploits gelten als wahrscheinlich. Die beobachtete Infektionskette läuft in mehreren Stufen ab.

Ein erster Dropper ruft Shellcode ab, der als Web-Font-Ressource im .woff-Format getarnt ist. Dieser Shellcode lädt das modifizierte Rshell-Framework direkt in den Arbeitsspeicher, ohne eine Datei auf der Festplatte zu hinterlassen. Das umgeht viele signaturbasierte Erkennungsmethoden. Der modulare Aufbau gibt dem Angreifer zusätzliche Flexibilität: Der schlanke Einstiegskomponent bleibt unverändert, während nachgelagerte Payloads separat gehostet und aktualisiert werden können.

Umfangreicher Werkzeugkasten für Angreifer

TencShell bietet Angreifern nach einer erfolgreichen Kompromittierung einen umfassenden Werkzeugkasten: In-Memory-Ausführung von Code, BOF-Style-Modulausführung, Proxying und Tunneling, WebSocket-basierte C2-Kommunikation sowie interaktive Fernsteuerung des kompromittierten Systems. Dieser Funktionsumfang entspricht ausgereiften Post-Exploitation-Frameworks, wurde aber aus angepassten Open-Source-Tools zusammengestellt, nicht von Grund auf neu entwickelt.

Besonders heikel ist der mögliche Einstieg über kompromittierte Drittanbieter-Zugänge. Ein einziger kompromittierter Endpunkt an einem Standort kann die gesamte Lieferkette, Produktionssysteme, geistiges Eigentum und Kundendaten gefährden.

Was du daraus mitnehmen kannst

Cato Networks konnte den Angriff stoppen, weil die Plattform Signale aus mehreren Quellen korreliert hat: verdächtige externe Infrastruktur, Artefakte auf Host-Ebene, Staging-Verhalten bei Payloads und C2-ähnliche Kommunikationsmuster. Das zeigt, worauf es ankommt: Sicherheit braucht Sichtbarkeit über alle Schichten hinweg, nicht nur an einzelnen Kontrollpunkten.

Für Unternehmen jeder Größe gilt, dass ausgeklügelte Angriffe heute keine aufwendig entwickelte Spezialsoftware mehr voraussetzen. Angreifer passen verfügbare Open-Source-Tools an und versuchen, ihre Aktivitäten im regulären Datenverkehr zu verstecken. Wer das erkennen will, muss Verhalten überwachen, nicht nur Signaturen prüfen.