Für gewöhnlich arbeiten Cyberkriminelle als Einzelkämpfer oder in kleinen, gut organisierten Gruppen. Ein aktueller Bericht fand heraus, dass die Hacker immer besser und intensiver kooperieren. shutterstock.com – CHAjAMP Cyberkriminalität stellt eine erhebliche Bedrohung für die nationale Sicherheit dar. Forscher von Mandiant haben festgestellt, dass sich durch eine wachsende Zusammenarbeit zwischen Hackergruppen die Sicherheitslage weiter zuspitzt. Insbesondere Gruppen die im Auftrag von Nationalstaaten spionieren, und solche, die durch Ransomware-Erpressung und andere Formen der Cyberkriminalität auf finanzielle Beute aus sind, arbeiten immer öfter zusammen. Zunehmende Überschneidung zwischen Cybercrime und Spionage Es gab schon immer ein gewisses Maß an Überschneidungen zwischen diesen beiden Gruppen, aber in den letzten Jahren sind sie noch deutlicher geworden, berichten die Security-Experten. Am 11. Februar 2025 berichtete die Google-Tochter in einem aktuellen Report, dass die Aktivtäten beider Gruppen zugenommen hätten. Hintergrund sei, dass in Zeiten knapper werdender Kassen und als Mittel zur Verschleierung von staatlich geförderter Spionage, finanziell motivierte Cyberangriffe vermischt würden. Moderne Cyberkriminelle spezialisierten sich dem Report zufolge auf bestimmte Bereiche und kooperierten enger mit anderen Hackern, um ihre Operationen durchzuführen. Dies ermögliche es beispielsweise staatlich unterstützten Gruppen, als normale „Kunden“ aufzutreten und von im Darknet angebotenen Cybercrime-Diensten zu profitieren. Der Kauf von Malware, Zugangsdaten oder anderen Ressourcen aus illegalen Foren sei dabei oft günstiger als eigene Entwicklungen. Zusätzlich hilft dieses Vorgehen, finanzielle Motivation vorzutäuschen und weniger aufzufallen. Malware-Tausch zwischen Staaten und Cybercrime-Gruppen nimmt zu Der Bericht zeigt eine Zunahme des wechselseitigen Malware-Austauschs zwischen Cybercrime-Gruppen und den Regierungen Russlands, Chinas und des Irans. Beispiele sind: Die russische Hackergruppe APT44 nutzt Crimeware wie DarkCrystalRat und WarZone. Die iranische Gruppe UNC5203 setzt dieselbe RadThief-Malware ein wie APT44. Der chinesische Akteur UNC2286 verwendet die SteamTrain-Ransomware zusammen mit einer Ransomware-Notiz der DarkSide-Gruppe. Die Ransomware-Gruppe RA World nutzt Werkzeuge, die zuvor nur bei chinesischen Spionageoperationen eingesetzt wurden. Neue PlugX-Variante mit chinesischer Spionagegruppe verbunden Das im Juli 2024 entdeckte Toolset ist eine Variante der PlugX-Backdoor und weist Ähnlichkeiten mit anderen Varianten auf, die mit der chinesischen Spionagegruppe Fireant (auch bekannt als Mustang Panda oder Earth Preta) in Verbindung stehen. Weitere Angriffe mit dieser PlugX-Variante erfolgten über das darauffolgende halbe Jahr hinweg: Im August wurde eine Regierung in Südosteuropa sowie ein Ministerium in Südostasien infiltriert. Einen Monat später, im September 2024, griffen die Hacker einen Telekommunikationsanbieter in Südostasien an. Im Januar 2025 richtete sich die nächste Cyberattacke gegen ein Ministerium in einem weiteren südostasiatischen Land. Warum setzt ein Spionageakteur auf Ransomware? Forscher von Symantec, einem US-amerikanischem Sicherheitssoftware-Anbieter, vermuten mehrere mögliche Gründe für die verstärkte Zusammenarbeit innerhalb der Szene. Hinweise deuteten darauf hin, dass der Angreifer bereits in Ransomware-Angriffe involviert war. Palo Alto, ein anderer US-amerikanischer Security-Provider, fand Verbindungen zwischen RA World und der chinesischen Gruppe Bronze Starlight (Emperor Dragonfly) heraus. Beide Gruppen nutzen dabei verschiedene Ransomware-Familien. Ein eingesetztes Proxy-Tool (NPS) wurde zuvor von Bronze Starlight verwendet. Unklar bleibt, warum ein mutmaßlicher Spionageakteur Ransomware nutzt. Während nordkoreanische Hacker dies zur Finanzierung tun, gibt es für chinesische Gruppen bisher keine vergleichbare Historie. Nebenverdienst mit Ransomware-Erpressung Mögliche Erklärungen: Ransomware diente als Ablenkung, Köder oder zur Vertuschung von Spionage – allerdings war sie nicht effektiv darin. Das Ziel war nicht strategisch relevant, sondern ein Ausreißer, was gegen eine Verschleierungstaktik spricht. Der Angreifer forderte aktiv Lösegeld, was für eine ernsthafte finanzielle Motivation und gegen ein Ablenkungsmanöver spricht. Das wahrscheinlichste Szenario ist aber, dass ein Akteur, möglicherweise eine Einzelperson, versucht hat, mit dem Toolkit seines Arbeitgebers nebenbei etwas Geld zu verdienen.
Hacker kooperieren verstärkt branchenübergeifend
Für gewöhnlich arbeiten Cyberkriminelle als Einzelkämpfer oder in kleinen, gut organisierten Gruppen. Ein aktueller Bericht fand heraus, dass die Hacker immer besser und intensiver kooperieren. shutterstock.com – CHAjAMP Cyberkriminalität stellt eine erhebliche Bedrohung für die nationale Sicherheit dar. Forscher von Mandiant haben festgestellt, dass sich durch eine wachsende Zusammenarbeit zwischen Hackergruppen die Sicherheitslage weiter zuspitzt. Insbesondere Gruppen die im Auftrag von Nationalstaaten spionieren, und solche, die durch Ransomware-Erpressung und andere Formen der Cyberkriminalität auf finanzielle Beute aus sind, arbeiten immer öfter zusammen. Zunehmende Überschneidung zwischen Cybercrime und Spionage Es gab schon immer ein gewisses Maß an Überschneidungen zwischen diesen beiden Gruppen, aber in den letzten Jahren sind sie noch deutlicher geworden, berichten die Security-Experten. Am 11. Februar 2025 berichtete die Google-Tochter in einem aktuellen Report, dass die Aktivtäten beider Gruppen zugenommen hätten. Hintergrund sei, dass in Zeiten knapper werdender Kassen und als Mittel zur Verschleierung von staatlich geförderter Spionage, finanziell motivierte Cyberangriffe vermischt würden. Moderne Cyberkriminelle spezialisierten sich dem Report zufolge auf bestimmte Bereiche und kooperierten enger mit anderen Hackern, um ihre Operationen durchzuführen. Dies ermögliche es beispielsweise staatlich unterstützten Gruppen, als normale „Kunden“ aufzutreten und von im Darknet angebotenen Cybercrime-Diensten zu profitieren. Der Kauf von Malware, Zugangsdaten oder anderen Ressourcen aus illegalen Foren sei dabei oft günstiger als eigene Entwicklungen. Zusätzlich hilft dieses Vorgehen, finanzielle Motivation vorzutäuschen und weniger aufzufallen. Malware-Tausch zwischen Staaten und Cybercrime-Gruppen nimmt zu Der Bericht zeigt eine Zunahme des wechselseitigen Malware-Austauschs zwischen Cybercrime-Gruppen und den Regierungen Russlands, Chinas und des Irans. Beispiele sind: Die russische Hackergruppe APT44 nutzt Crimeware wie DarkCrystalRat und WarZone. Die iranische Gruppe UNC5203 setzt dieselbe RadThief-Malware ein wie APT44. Der chinesische Akteur UNC2286 verwendet die SteamTrain-Ransomware zusammen mit einer Ransomware-Notiz der DarkSide-Gruppe. Die Ransomware-Gruppe RA World nutzt Werkzeuge, die zuvor nur bei chinesischen Spionageoperationen eingesetzt wurden. Neue PlugX-Variante mit chinesischer Spionagegruppe verbunden Das im Juli 2024 entdeckte Toolset ist eine Variante der PlugX-Backdoor und weist Ähnlichkeiten mit anderen Varianten auf, die mit der chinesischen Spionagegruppe Fireant (auch bekannt als Mustang Panda oder Earth Preta) in Verbindung stehen. Weitere Angriffe mit dieser PlugX-Variante erfolgten über das darauffolgende halbe Jahr hinweg: Im August wurde eine Regierung in Südosteuropa sowie ein Ministerium in Südostasien infiltriert. Einen Monat später, im September 2024, griffen die Hacker einen Telekommunikationsanbieter in Südostasien an. Im Januar 2025 richtete sich die nächste Cyberattacke gegen ein Ministerium in einem weiteren südostasiatischen Land. Warum setzt ein Spionageakteur auf Ransomware? Forscher von Symantec, einem US-amerikanischem Sicherheitssoftware-Anbieter, vermuten mehrere mögliche Gründe für die verstärkte Zusammenarbeit innerhalb der Szene. Hinweise deuteten darauf hin, dass der Angreifer bereits in Ransomware-Angriffe involviert war. Palo Alto, ein anderer US-amerikanischer Security-Provider, fand Verbindungen zwischen RA World und der chinesischen Gruppe Bronze Starlight (Emperor Dragonfly) heraus. Beide Gruppen nutzen dabei verschiedene Ransomware-Familien. Ein eingesetztes Proxy-Tool (NPS) wurde zuvor von Bronze Starlight verwendet. Unklar bleibt, warum ein mutmaßlicher Spionageakteur Ransomware nutzt. Während nordkoreanische Hacker dies zur Finanzierung tun, gibt es für chinesische Gruppen bisher keine vergleichbare Historie. Nebenverdienst mit Ransomware-Erpressung Mögliche Erklärungen: Ransomware diente als Ablenkung, Köder oder zur Vertuschung von Spionage – allerdings war sie nicht effektiv darin. Das Ziel war nicht strategisch relevant, sondern ein Ausreißer, was gegen eine Verschleierungstaktik spricht. Der Angreifer forderte aktiv Lösegeld, was für eine ernsthafte finanzielle Motivation und gegen ein Ablenkungsmanöver spricht. Das wahrscheinlichste Szenario ist aber, dass ein Akteur, möglicherweise eine Einzelperson, versucht hat, mit dem Toolkit seines Arbeitgebers nebenbei etwas Geld zu verdienen.
Hacker kooperieren verstärkt branchenübergeifend Für gewöhnlich arbeiten Cyberkriminelle als Einzelkämpfer oder in kleinen, gut organisierten Gruppen. Ein aktueller Bericht fand heraus, dass die Hacker immer besser und intensiver kooperieren. shutterstock.com – CHAjAMP Cyberkriminalität stellt eine erhebliche Bedrohung für die nationale Sicherheit dar. Forscher von Mandiant haben festgestellt, dass sich durch eine wachsende Zusammenarbeit zwischen Hackergruppen die Sicherheitslage weiter zuspitzt. Insbesondere Gruppen die im Auftrag von Nationalstaaten spionieren, und solche, die durch Ransomware-Erpressung und andere Formen der Cyberkriminalität auf finanzielle Beute aus sind, arbeiten immer öfter zusammen. Zunehmende Überschneidung zwischen Cybercrime und Spionage Es gab schon immer ein gewisses Maß an Überschneidungen zwischen diesen beiden Gruppen, aber in den letzten Jahren sind sie noch deutlicher geworden, berichten die Security-Experten. Am 11. Februar 2025 berichtete die Google-Tochter in einem aktuellen Report, dass die Aktivtäten beider Gruppen zugenommen hätten. Hintergrund sei, dass in Zeiten knapper werdender Kassen und als Mittel zur Verschleierung von staatlich geförderter Spionage, finanziell motivierte Cyberangriffe vermischt würden. Moderne Cyberkriminelle spezialisierten sich dem Report zufolge auf bestimmte Bereiche und kooperierten enger mit anderen Hackern, um ihre Operationen durchzuführen. Dies ermögliche es beispielsweise staatlich unterstützten Gruppen, als normale „Kunden“ aufzutreten und von im Darknet angebotenen Cybercrime-Diensten zu profitieren. Der Kauf von Malware, Zugangsdaten oder anderen Ressourcen aus illegalen Foren sei dabei oft günstiger als eigene Entwicklungen. Zusätzlich hilft dieses Vorgehen, finanzielle Motivation vorzutäuschen und weniger aufzufallen. Malware-Tausch zwischen Staaten und Cybercrime-Gruppen nimmt zu Der Bericht zeigt eine Zunahme des wechselseitigen Malware-Austauschs zwischen Cybercrime-Gruppen und den Regierungen Russlands, Chinas und des Irans. Beispiele sind: Die russische Hackergruppe APT44 nutzt Crimeware wie DarkCrystalRat und WarZone. Die iranische Gruppe UNC5203 setzt dieselbe RadThief-Malware ein wie APT44. Der chinesische Akteur UNC2286 verwendet die SteamTrain-Ransomware zusammen mit einer Ransomware-Notiz der DarkSide-Gruppe. Die Ransomware-Gruppe RA World nutzt Werkzeuge, die zuvor nur bei chinesischen Spionageoperationen eingesetzt wurden. Neue PlugX-Variante mit chinesischer Spionagegruppe verbunden Das im Juli 2024 entdeckte Toolset ist eine Variante der PlugX-Backdoor und weist Ähnlichkeiten mit anderen Varianten auf, die mit der chinesischen Spionagegruppe Fireant (auch bekannt als Mustang Panda oder Earth Preta) in Verbindung stehen. Weitere Angriffe mit dieser PlugX-Variante erfolgten über das darauffolgende halbe Jahr hinweg: Im August wurde eine Regierung in Südosteuropa sowie ein Ministerium in Südostasien infiltriert. Einen Monat später, im September 2024, griffen die Hacker einen Telekommunikationsanbieter in Südostasien an. Im Januar 2025 richtete sich die nächste Cyberattacke gegen ein Ministerium in einem weiteren südostasiatischen Land. Warum setzt ein Spionageakteur auf Ransomware? Forscher von Symantec, einem US-amerikanischem Sicherheitssoftware-Anbieter, vermuten mehrere mögliche Gründe für die verstärkte Zusammenarbeit innerhalb der Szene. Hinweise deuteten darauf hin, dass der Angreifer bereits in Ransomware-Angriffe involviert war. Palo Alto, ein anderer US-amerikanischer Security-Provider, fand Verbindungen zwischen RA World und der chinesischen Gruppe Bronze Starlight (Emperor Dragonfly) heraus. Beide Gruppen nutzen dabei verschiedene Ransomware-Familien. Ein eingesetztes Proxy-Tool (NPS) wurde zuvor von Bronze Starlight verwendet. Unklar bleibt, warum ein mutmaßlicher Spionageakteur Ransomware nutzt. Während nordkoreanische Hacker dies zur Finanzierung tun, gibt es für chinesische Gruppen bisher keine vergleichbare Historie. Nebenverdienst mit Ransomware-Erpressung Mögliche Erklärungen: Ransomware diente als Ablenkung, Köder oder zur Vertuschung von Spionage – allerdings war sie nicht effektiv darin. Das Ziel war nicht strategisch relevant, sondern ein Ausreißer, was gegen eine Verschleierungstaktik spricht. Der Angreifer forderte aktiv Lösegeld, was für eine ernsthafte finanzielle Motivation und gegen ein Ablenkungsmanöver spricht. Das wahrscheinlichste Szenario ist aber, dass ein Akteur, möglicherweise eine Einzelperson, versucht hat, mit dem Toolkit seines Arbeitgebers nebenbei etwas Geld zu verdienen.