In diese Folge beleuchten wir die Technik der Email-basierten Fernsteuerung von Malware, einem sogenannten „Email-based Command & Control (C2) Channel“. Dazu ziehen wir das konkrete Implant GONEPOSTAL heran, das der Cyber-Spionagegruppe APT28 — auch bekannt als FANCY BEAR — zugeordnet wird. Wir haben diese Malware für euch analysiert und neben einer detaillierten Beschreibung diskutieren wir Sinn und Zweck solcher Implants und von Email-based C2 Channel im Allgemeinen.
- FANCY BEAR GONEPOSTAL – Espionage Tool Provides Backdoor Access to Microsoft Outlook, Kroll Inc., 11.11.2025
- Analyzing NotDoor: Inside APT28’s Expanding Arsenal, Lab52, 03.11.2025
- GONEPOSTAL auf Malpedia
- APT28 campaign targeting Polish government institutions, CERT Polska, 08.05.2024
- Managing and distributing Outlook Visual Basic for Applications (VBA) projects, Microsoft
- APT28’s OCEANMAP Backdoor, Gurucul
- Russischer Geheimdienst-Hacker in Thailand gefasst, FAZ, 14.11.2025
- A Fresh Outlook on Mail Based Persistence, MDSec Consulting Ltd, 23.11.2020
Die folgende Tabelle listed die analysierten Dateien auf zusammen mit ihrem SHA256 Hash und bekannten Dateinamen.
| Beschreibung | Dateinamen | SHA256 |
| Dropper | SSPICLI.dll | 5a88a15a1d764e635462f78a0cd958b17e6d22c716740febc114a408eef66705 |
| Office Container Datei | testtemp.ini VbaProject.OTM | 8f4bca3c62268fff0458322d111a511e0bcfba255d5ab78c45973bd293379901 |
| VBA Code | ThisOutlookSession.cls | 144bddb48890fa680dfd226e36c0ef2c6d6f98a365aea48399edd0d0388711a1 |