Auch in Deutschland: Mysteriöse Spione infiltrieren Infrastrukturen in 37 Ländern
Sicherheitsforscher der Unit 42 von Palo Alto Networks haben eine zuvor unbekannte Spionagekampagne aufgedeckt. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) soll eine Gruppierung asiatischer Herkunft im Rahmen der Shadow Campaigns genannten Kampagne Behörden und kritische Infrastrukturen in 37 verschiedenen Ländern kompromittiert haben – darunter auch Deutschland und andere EU-Länder.
Die Spionagegruppe wird im Bericht TGR-STA-1030 respektive UNC6619 genannt. Es soll sich um eine staatlich unterstützte Hackergruppe handeln, die seit mindestens zwei Jahren aktiv ist. Aufgrund verwendeter Tools, Infrastrukturen, Sprachpräferenzen und Aktivitätszeiten schreibt Unit 42 der Gruppe eine asiatische Herkunft zu, ohne jedoch ein konkretes Herkunftsland zu benennen.
Nach Angaben der Forscher haben die Cyberspione unter anderem IT-Systeme nationaler Finanz-, Energie-, Polizei-, Justiz-, Einwanderungs- und Grenzkontrollbehörden sowie anderer staatlicher Einrichtungen kompromittiert, die sich beispielsweise mit Wirtschaft, Handel, natürlichen Ressourcen und diplomatischen Belangen befassen. Teilweise sollen auch Telekommunikationsunternehmen betroffen sein.
Spionageaktivitäten in allen Teilen der Welt
Allein in den Monaten November und Dezember 2025 soll UNC6619 staatliche Infrastrukturen von 155 Ländern ausgekundschaftet haben. Bei mindestens 70 Organisationen aus 37 Ländern soll im vergangenen Jahr sogar eine Kompromittierung erfolgt sein. Dabei blieb kaum ein Kontinent verschont: Egal ob Europa, Asien, Amerika oder Ozeanien, überall gab es laut Bericht erfolgreiche IT-Einbrüche durch die Cyberspione.
Gerade Europa stand zuletzt besonders im Fokus der Angreifer. In Deutschland soll die Gruppe Verbindungen zu staatlicher Infrastruktur hinter mehr als 490 IP-Adressen aufgebaut haben. Hinzu kommen Verbindungsversuche zu über 600 IP-Adressen, die Infrastruktur der EU zugeordnet wurden. Aber auch bei EU-Ländern wie Tschechien, Griechenland, Italien, Polen und Portugal beobachteten die Forscher entsprechende Aktivitäten.
Den Angreifern ist jedes Mittel recht
Bei der Infiltration anvisierter Systeme setzen die Cyberspione laut Unit 42 auf eine Mischung aus Phishing und der Ausnutzung von Sicherheitslücken. Ziel ist es jeweils, Malware einzuschleusen und sich einen persistenten Zugang zu sichern. Die Gruppe greift auf eine breite Palette an Tools und Exploit-Kits zurück und bedient sich bekannter Sicherheitslücken in Produkten von Microsoft , SAP , D-Link und vielen anderen Herstellern.
Betroffene Organisationen wurden den Angaben zufolge von Palo Alto Networks benachrichtigt. Administratoren finden im Blogbeitrag der Forscher(öffnet im neuen Fenster) technische Details zur Vorgehensweise der Angreifer sowie Kompromittierungsindikatoren, die bei der Erkennung und Abwehr der Spionageattacken von UNC6619 unterstützen können.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.