Im Inneren des ESET-Berichts, der die Landkarte des Cyber-Risikos für 2026 neu zeichnet
Als 1987 die beiden slowakischen Programmierer Rudolf Hrubý und Peter Paško das erste Antivirenprogramm entwickelten, das den Vienna-Virus neutralisieren konnte, ahnten sie nicht, dass ihre Schöpfung zu einem der privilegierten Beobachter der digitalen Kriege des 21. Jahrhunderts werden würde. ESET ist von der kleinen Stadt Bratislava aus so gewachsen, dass es heute über dreizehn Forschungs- und Entwicklungszentren auf der ganzen Welt und eine Telemetrie verfügt, die Bedrohungen auf planetarischer Ebene überwacht. Es ist, als hätte man ein auf jedem Kontinent verteiltes Radarsystem, das immer eingeschaltet ist und immer zuhört.
Zweimal im Jahr veröffentlicht ESET seine APT Activity Reports, Dokumente, die monatelange Untersuchungen zu Advanced Persistent Threat-Gruppen zusammenfassen, jenen von Nationalstaaten gesponserten Cyber-Formationen, die im Verborgenen für Spionage, Sabotage oder Profit operieren. Der Bericht für den Zeitraum April bis September 2025 ist keine einfache Sammlung von Vorfällen: Er ist eine Kartografie der geopolitischen Spannungen unserer Zeit, nachgezeichnet durch Codezeilen anstelle von physischen Grenzen. Jeder dokumentierte Angriff, jede neue analysierte Malware, jedes identifizierte Opfer erzählt eine größere Geschichte von Rivalitäten zwischen Mächten, digitalen Stellvertreterkriegen und Parallelwirtschaften, die auf gestohlenen Kryptowährungen basieren.
Aber es gibt eine Anomalie in diesem Bericht, die besondere Aufmerksamkeit verdient, etwas, das bis vor wenigen Monaten unmöglich schien: die erste dokumentierte Zusammenarbeit zwischen zwei traditionell rivalisierenden russischen Gruppen. Um ihre Bedeutung zu verstehen, müssen wir über die technischen Details hinausblicken und uns fragen, was sie uns über die laufenden Veränderungen im Ökosystem der Cyberkriegsführung sagt.
Die russische Anomalie: Wenn Gamaredon auf Turla trifft
ESET-Forscher beobachteten im September 2025 etwas noch nie Dagewesenes: Implantate der Gamaredon-Gruppe, die für ihre hektische Aktivität gegen ukrainische Ziele bekannt ist, wurden verwendet, um Backdoors der Turla-Gruppe, einem anderen russischen Akteur mit unterschiedlichen Merkmalen und Zugehörigkeiten, neu zu starten und zu verteilen. Technisch gesehen haben Tools wie PteroGraphin, PteroOdd und PteroPaste die Version 3 von Kazuar, Turla's charakteristischem Backdoor, auf bereits kompromittierten Rechnern auf ukrainischem Territorium neu gestartet.
Warum ist das wichtig? Sicherheitsanalysten wissen sehr wohl, dass die russischen Dienste notorisch zersplittert sind und miteinander konkurrieren. Gamaredon wird im Allgemeinen dem FSB (Federal'naja služba bezopasnosti) zugeordnet, insbesondere dem Zentrum 18, während Turla traditionell dem Zentrum 16 desselben Dienstes untersteht. Diese Gruppen haben unterschiedliche Ziele, Techniken und Toolsets. Gamaredon operiert mit einem "Spray and Pray"-Ansatz, bei dem massive Spearphishing-Kampagnen gestartet und das Arsenal kontinuierlich mit immer neuen Varianten aktualisiert wird. Turla ist selektiver, chirurgischer und auf hochwertige Geheimdienstziele ausgerichtet.
Die ESET-Telemetrie zeigt, dass die Zusammenarbeit nicht wahllos war: Der Kazuar-Backdoor wurde nur auf einer kleinen Anzahl von Rechnern im Vergleich zu der riesigen Kompromittierung durch Gamaredon eingesetzt. Dies deutet auf einen selektiven Einsatz bei als besonders wertvoll erachteten Zielen hin, bei denen der von Gamaredon bereitgestellte Erstzugang den Weg für von Turla durchgeführte Operationen der zweiten Stufe ebnete.
Aber was hat diese beiden Gruppen zur Zusammenarbeit bewogen? Der Bericht spekuliert nicht, sondern beschränkt sich auf die Dokumentation der Fakten. Wir können jedoch einige Überlegungen anstellen. Die Intensität des Konflikts in der Ukraine könnte einen solchen Druck erzeugt haben, dass eine Zusammenarbeit nicht nur wünschenswert, sondern notwendig wurde. Wenn die Ressourcen begrenzt und die Ziele vielfältig sind, treten selbst interne Rivalitäten hinter gemeinsamen Prioritäten zurück. Oder vielleicht erleben wir einen Paradigmenwechsel in der Organisation der russischen Cyberkriegsführung, bei dem die Abschottung fließenderen und kollaborativeren Strukturen weicht, wenn der Einsatz hoch genug ist.
Im selben Zeitraum intensivierte Gamaredon seine Operationen weiter. Die Gruppe integrierte neue File-Stealer in ihr Arsenal und begann, Tunneling-Dienste wie loca.lt, loophole.site und devtunnels.ms sowie legitime Cloud-Speicherplattformen wie Tebi und Wasabi zur Datenexfiltration zu nutzen. Sie experimentierte sogar mit der Ausnutzung der Schwachstelle CVE-2025-8088 in WinRAR, demselben Zero-Day, den die RomCom-Gruppe zur gleichen Zeit nutzte.
RomCom ist ein weiterer interessanter Fall in der russischen Landschaft. Mitte Juli 2025 entdeckte und nutzte die Gruppe eine Zero-Day-Schwachstelle in WinRAR, die es ermöglichte, alternative Datenströme für Path Traversal zu verwenden. Der Angriff war in seiner Einfachheit elegant: ein Archiv, das scheinbar eine einzige harmlose Datei enthielt, die nach dem Öffnen bösartige DLLs im temporären Verzeichnis und schädliche Links im Windows-Startordner entfaltete. ESET meldete die Schwachstelle am 24. Juli verantwortungsbewusst an WinRAR, und der Patch kam sechs Tage später mit der Version 7.13. Die Ziele? Unternehmen aus den Bereichen Finanzen, Fertigung, Verteidigung und Logistik in Europa und Kanada.
In der Zwischenzeit behielt Sandworm, die mit dem GRU verbundene russische Gruppe, die auf zerstörerische Operationen spezialisiert ist, ihren Fokus auf die Ukraine bei, jedoch mit einem anderen Ansatz: Ihr Ziel ist nicht Spionage, sondern Sabotage. Die Wiper ZEROLOT und Sting wurden gegen Universitäten, Regierungsbehörden, Energieunternehmen und den Logistiksektor eingesetzt. Besonders bedeutsam ist das Targeting des ukrainischen Getreidesektors, einer der Haupteinnahmequellen des Landes. Welche klarere Botschaft für die Absicht, die Kriegswirtschaft des Gegners zu schwächen?
China spielt auf mehreren Tischen
Wenn Russland seine digitalen Energien auf die Ukraine und ihre europäischen Verbündeten konzentriert, demonstriert China die Fähigkeit, gleichzeitig an mehreren Fronten zu operieren, was die Komplexität seiner geopolitischen Prioritäten widerspiegelt. Der ESET-Bericht identifiziert 39,8 % der Angriffe in diesem Zeitraum als von mit Peking verbündeten Gruppen stammend, ein signifikanter Prozentsatz, der das Mobilisierungsniveau der chinesischen Cyber-Assets unterstreicht.
Die interessanteste Geschichte betrifft FamousSparrow, eine Gruppe, die bereits für ihre Kampagnen bekannt ist, aber zwischen Juni und September 2025 plötzlich ihren Fokus auf Lateinamerika verlagerte. ESET-Forscher fanden Spuren des SparrowDoor-Backdoors auf Rechnern von Regierungsbehörden in Argentinien, Guatemala, Honduras, Panama und Ecuador. Dies sind keine zufälligen Einfälle: In Guatemala fanden die Ermittler Beweise für die Ausnutzung der ProxyLogon-Schwachstelle für den Erstzugang, während in Panama die Verwendung von atexec-pro, einem Open-Source-Tool für laterale Bewegungen, auf eine gut geplante Operation hindeutet.
Warum gerade jetzt? Warum gerade diese Länder? Der geopolitische Kontext liefert wichtige Hinweise. Die Trump-Administration hat das amerikanische Interesse an Lateinamerika erneuert und darauf gedrängt, den chinesischen finanziellen Fußabdruck um den Panamakanal zu verringern und eine Wiederannäherung an Ecuador einzuleiten, wo der Einfluss Pekings in den Vorjahren gewachsen war. Im Februar 2025 besuchte Außenminister Marco Rubio Panama, was Präsident Mulino dazu veranlasste, den Austritt des Landes aus der Belt and Road Initiative anzukündigen. Im Fall von Honduras und Guatemala könnten die Aktivitäten mit den Beziehungen dieser Länder zu Taiwan zusammenhängen.
Es ist vernünftig anzunehmen, dass die Operationen von FamousSparrow ein Versuch Pekings sind, die wahren Absichten dieser Regierungen in einer sich schnell entwickelnden diplomatischen Landschaft zu verstehen. Wir wissen nicht, wonach sie genau gesucht haben, welche Dokumente sie exfiltriert haben, welche Gespräche sie abgefangen haben. Aber die Konzentration der Bemühungen deutet darauf hin, dass Lateinamerika in diesen Monaten die Hauptpriorität der Gruppe war.
Während FamousSparrow die lateinamerikanischen Kanzleien auskundschaftete, zeigten andere chinesische Gruppen eine zunehmende Nutzung der Adversary-in-the-Middle-Technik. ESET verfolgt derzeit zehn aktive Gruppen, die diese Technik sowohl für den Erstzugang als auch für laterale Bewegungen einsetzen. Es ist ein ausgeklügelter Ansatz, der strategische Positionierungsfähigkeiten im Netzwerk erfordert, aber die Ergebnisse können verheerend sein.
SinisterEye, auch bekannt als LuoYu oder CASCADE PANDA, ist ein emblematisches Beispiel. Die Gruppe operiert hauptsächlich gegen Ziele innerhalb Chinas, trifft aber sowohl inländische Entitäten als auch die Büros ausländischer Unternehmen. Mit wahrscheinlichem Zugang zur Internet-Backbone-Infrastruktur fängt SinisterEye Software-Updates ab und manipuliert sie, um WinDealer unter Windows oder SpyDealer unter Android zu verteilen. Zwischen Mai und September 2025 zielte es auf die chinesischen Büros eines taiwanesischen Unternehmens im Bereich der Luft- und Raumfahrtverteidigung ab, das auch in der Halbleiterindustrie tätig ist. Im August verlagerte es seinen Fokus auf Vertreter einer amerikanischen Handelsorganisation in Peking, die wahrscheinlich an Lobbyaktivitäten zur Lockerung der amerikanischen Zölle gegen asiatische Länder interessiert waren. Im September geriet sogar eine ecuadorianische Regierungsbehörde ins Visier.
PlushDaemon verwendet einen anderen, aber ebenso effektiven Ansatz: Es kompromittiert Netzwerkgeräte wie Router und verteilt EdgeStepper, ein Tool, das den DNS-Verkehr auf von den Angreifern kontrollierte Server umleitet. Diese Server beantworten Anfragen für Domains, die mit Software-Update-Infrastrukturen verbunden sind, mit den IP-Adressen bösartiger Webserver, die letztendlich SlowStepper, den charakteristischen Backdoor der Gruppe, ausliefern. Im Juni traf PlushDaemon die kambodschanischen Büros eines japanischen Unternehmens und eines multinationalen Konzerns, der stark in Projekte im Zusammenhang mit der Belt and Road Initiative im Öl- und Gassektor involviert ist. Der Zeitpunkt ist signifikant: Im April 2025 wurde eine wichtige Partnerschaft zwischen chinesischen Unternehmen und Kambodscha zum Bau der größten Ölraffinerie des Landes angekündigt, ein 3,5-Milliarden-Dollar-Projekt.
Andere chinesische Gruppen haben konsistente Operationen in ihren traditionellen Kompetenzbereichen aufrechterhalten. Mustang Panda blieb in Südostasien, den Vereinigten Staaten und Europa aktiv und konzentrierte sich auf die Sektoren Regierung, Ingenieurwesen und Seeverkehr. Flax Typhoon nutzte weiterhin öffentliche Webserver in Taiwan, indem es Webshells verteilte, seine SoftEther-VPN-Infrastruktur aufrechterhielt und die Verwendung von BUUT, einem Open-Source-Proxy, einführte. Speccom zielte auf den Energiesektor in Zentralasien ab, einer entscheidenden Region für Chinas Bestreben, die Abhängigkeit von Seeimporten zu verringern, und verwendete Spearphishing mit strategisch benannten bösartigen Dokumenten wie "UzGasTrade 26.06.2025.doc".
Iran, Nordkorea und die anderen
Wenn Russland und China die Bedrohungslandschaft quantitativ dominieren, zeigen andere staatliche Akteure Kreativität und Beharrlichkeit in ihren Operationen. Der ESET-Bericht widmet zwei Ökosystemen besondere Aufmerksamkeit: dem iranischen und dem nordkoreanischen.
MuddyWater, eine mit dem Iran verbündete Gruppe, zeichnete sich durch eine kontraintuitive taktische Innovation aus: internes Spearphishing. Die Technik ist einfach, aber effektiv: Nachdem sie ein E-Mail-Konto innerhalb einer Zielorganisation kompromittiert haben, verwenden die Betreiber dieses Konto, um Phishing-Nachrichten an viele Mitarbeiter desselben Unternehmens zu senden. Die Ergebnisse? Eine bemerkenswert hohe Erfolgsquote. Der Grund ist sowohl psychologisch als auch technologisch: Sicherheitstools und SOC-Analysten sind darauf kalibriert, bösartige externe E-Mails zu erkennen, nicht interne Kommunikation. Eine Nachricht, die von einem Kollegen aus dem oberen Stockwerk kommt, umgeht die Filter und senkt die kognitiven Abwehrmechanismen des Empfängers.
MuddyWater war in diesem Zeitraum in Afrika, Asien, Europa, dem Nahen Osten und Nordamerika aktiv und verwendete sowohl Links zum Herunterladen von Fernüberwachungs- und -verwaltungstools als auch VBScript-Dropper, die benutzerdefinierte Backdoors in den Speicher laden. Es ist eine hektische Aktivität, die erhebliche Koordination und Ressourcen erfordert.
GalaxyGato, eine weitere iranische Gruppe, die auch als C5, Smoke Sandstorm, TA455 oder UNC1549 bekannt ist, zielte ab Juli 2025 mit einer verbesserten Version des C5-Backdoors, der stark mit ConfuserEx verschleiert war, auf den griechischen Schifffahrtssektor. Aber der interessanteste Twist ist ein DLL-Search-Order-Hijack im Windows-Defender-Verzeichnis, der den Diebstahl von Anmeldeinformationen bei jeder Eingabe durch den Benutzer ermöglicht. Die Malware schreibt die Anmeldeinformationen in eine Datei, die die Gruppe dann zur lateralen Bewegung und zur Eskalation von Berechtigungen exfiltrieren kann. Elegant in seiner Einfachheit, verheerend in seiner Wirksamkeit.
Nordkorea konzentriert sich weiterhin auf zwei Hauptziele: strategische Spionage und die Generierung von Einnahmen für das Regime. Nordkoreanische Gruppen haben ihre Operationen in Usbekistan ausgeweitet, ein Land, das zuvor nicht in ihrem Fokus beobachtet wurde. Der Kryptowährungssektor bleibt Pjöngjangs bevorzugter Geldautomat.
DeceptiveDevelopment, eine Gruppe, die sich auf gefälschte Personalvermittlerprofile spezialisiert hat, die Entwicklern im Rahmen gefälschter Auswahlverfahren trojanisierte Codebasen zur Verfügung stellen, hat intensive Aktivitäten gezeigt. ESET-Forscher dokumentierten überraschende Ähnlichkeiten zwischen Akdoor, einem von Lazarus 2018 verwendeten Backdoor, und AkdoorTea, einem neuen Backdoor von DeceptiveDevelopment im August 2025. Sie identifizierten auch Überschneidungen mit IT-Worker-Betrugsoperationen, die von den Gruppen UNC5267 und Jasper Sleet durchgeführt wurden. Dies ist kein Einzelfall: Das US-Justizministerium kündigte im Juni 2025 koordinierte Maßnahmen gegen das nordkoreanische IT-Worker-Ökosystem an, mit Durchsuchungsoperationen gegen 29 Laptop-Farmen und Anklagen gegen 10 Personen, die als Mitverschwörer identifiziert wurden.
Lazarus demonstrierte seine Vielseitigkeit mit Angriffen, die vom Gesundheitswesen bis zum Luft- und Raumfahrtsektor reichen. Im April, nachdem es den ThreatNeedleTea-Backdoor in einem Krankenhaus verteilt und die volle Kontrolle über das System erlangt hatte, führte es eine Variante der Qilin-Ransomware aus und zeigte eine Erpressungsnachricht an. Im September kompromittierte es das Netzwerk eines italienischen Luft- und Raumfahrtunternehmens unter Verwendung verschiedener Dropper und Lader, die die letzten Stufen aus ihren alternativen Datenströmen extrahierten, was im ImprudentCook-Downloader und dem ScoringMathTea-Backdoor gipfelte. Das Targeting des europäischen Luft- und Raumfahrtsektors, das auch in der jüngsten Operation DreamJob-Kampagne dokumentiert ist, die UAV-Unternehmen betrifft, deutet auf ein wachsendes Interesse Pjöngjangs an diesen Technologien hin.
ScarCruft führte Supply-Chain-Angriffe gegen südkoreanische Anbieter durch und trojanisierte Installationsprogramme für ERP- und CCTV-Software, die auf den offiziellen Websites der Anbieter verfügbar waren. In beiden Fällen lud der bösartige Code RokRAT herunter, den Signatur-Backdoor der Gruppe.
Kimsuky experimentierte mit der ClickFix-Technik gegen diplomatische Einrichtungen, Think Tanks und südkoreanische Akademiker. Konni hingegen tat etwas Ungewöhnliches: Im September 2025 startete es eine Kampagne, die auf macOS abzielte, ein Betriebssystem, das selten im Visier Nordkoreas steht. Das bösartige AppleScript-Skript verwendete Social Engineering, um Benutzeranmeldeinformationen zu erhalten, sie zu validieren und eine endgültige Nutzlast herunterzuladen, die sich als eine modifizierte Version des EggShell-Backdoors herausstellte, der zuvor mit einer nicht identifizierten nordkoreanischen Gruppe in Verbindung gebracht wurde.
Zusätzlich zu diesen Hauptakteuren dokumentiert der Bericht Aktivitäten kleinerer oder nicht zugeordneter Gruppen. FrostyNeighbor nutzte CVE-2024-42009 aus, eine XSS-Schwachstelle in Roundcube, die es ermöglicht, beliebigen JavaScript-Code im Kontext des Webmail-Clients zu laden. Interessanterweise identifizierte ESET mindestens zwei separate Cluster, die dieselbe Schwachstelle ausnutzten, einer, der Winter Vivern zugeschrieben wurde, und ein nicht zugeordneter, der polnische und litauische Unternehmen mit Spearphishing-E-Mails angriff, die sich als polnische Unternehmen ausgaben. Diese E-Mails enthielten eine unverwechselbare Verwendung von Emojis und Aufzählungspunkten, eine Struktur, die an KI-generierte Inhalte erinnert, was auf eine mögliche Verwendung von künstlicher Intelligenz in der Kampagne hindeutet.
Schließlich gibt es Wibag, eine bisher unbekannte Android-Spyware-Familie, die im Irak entdeckt wurde. Als YouTube-App getarnt, ist Wibag in der Lage, Tastatureingaben in bestimmten Apps wie Telegram, WhatsApp, Instagram, Facebook Messenger und Snapchat aufzuzeichnen, Audio über das Mikrofon aufzunehmen, SMS, Anrufprotokolle, Standortdaten, Kontakte zu exfiltrieren, den Bildschirm aufzuzeichnen und sogar WhatsApp- und normale Telefonanrufe aufzuzeichnen. Die Anmeldeseite des Admin-Panels zeigt das Logo des irakischen Nationalen Sicherheitsdienstes, was auf eine mögliche Operation des INSS hindeutet, obwohl nicht ausgeschlossen werden kann, dass eine nicht verwandte Gruppe das Logo verwendet hat, um ihre Spuren zu verwischen.
Die Zukunft in Mustern lesen: Szenarien 2026
Was können wir aus diesen sechs Monaten Cyber-Aktivität ableiten, um uns auf 2026 zu projizieren? Der ESET-Bericht liefert Daten, keine Kristallkugel, aber die Muster sind signifikant und ermöglichen einige begründete Überlegungen zu möglichen Entwicklungen.
Der Fall FrostyNeighbor und die E-Mails mit KI-ähnlicher Struktur werfen eine grundlegende Frage auf: Wie sehr verändert die künstliche Intelligenz bereits die Bedrohungslandschaft? Branchenexperten sind sich einig, dass für 2026 ein starker Anstieg der Nutzung von KI beim Phishing zu erwarten ist. ChatGPT und andere große Sprachmodelle können bereits grammatikalisch perfekte und hochgradig personalisierte Phishing-E-Mails generieren und die Schutzmaßnahmen mit der entsprechenden Sprache leicht umgehen. Dies macht Erkennungstechniken, die auf grammatikalischen Fehlern oder verdächtiger Syntax basieren, obsolet. Aber nicht nur das Phishing entwickelt sich weiter: Laut Googles Prognosen wird 2026 die KI in den täglichen Angriffs- und Verteidigungsaktivitäten normalisiert sein, wobei Gegner die Automatisierung zur Skalierung von Operationen nutzen und autonome KI Netzwerke sondieren, Schwachstellen identifizieren und mit minimaler menschlicher Aufsicht ausnutzen kann.
Die Zusammenarbeit zwischen Gamaredon und Turla wirft Fragen über die Zukunft kooperativer Modelle zwischen APTs auf. War es eine situative Anomalie, die durch den Druck des Ukraine-Konflikts diktiert wurde, oder stellt sie eine Vorlage dar, die in anderen Kontexten repliziert werden kann? Wenn die Antwort letzteres ist, könnten wir 2026 andere unerwartete Partnerschaften zwischen Gruppen sehen, die staatliche Sponsoren teilen, aber historisch in getrennten Silos operiert haben. Dies erschwert die Zuordnung, die bereits eine große Herausforderung in der Cyber-Landschaft darstellt, weiter und könnte anspruchsvollere Operationen ermöglichen, die die Spezialisierungen verschiedener Akteure kombinieren.
Das im Bericht dokumentierte sektorale Targeting gibt Hinweise darauf, wo die Verteidigung konzentriert werden sollte. Der Gesundheitssektor in Taiwan, die Energie in Zentralasien, die Logistik und das Getreide in der Ukraine, Kryptowährungen weltweit, die Luft- und Raumfahrt in Europa: Dies sind keine zufälligen Entscheidungen, sondern spiegeln präzise geopolitische Prioritäten wider. Wir können erwarten, dass sich diese Trends 2026 verstärken werden. Chinas Fokus auf Halbleiter beispielsweise wird zunehmen, da sich der technologische Wettbewerb zwischen den Vereinigten Staaten und China verschärft. Die nordkoreanischen Angriffe auf den Kryptosektor werden wahrscheinlich zunehmen, da internationale Sanktionen das Regime zwingen, alternative Einnahmequellen zu suchen. Die zerstörerischen russischen Operationen gegen die ukrainische Wirtschaft könnten sich auf bisher weniger betroffene Sektoren ausweiten.
Werden Zero-Day-Schwachstellen zu einer Handelsware zwischen APT-Gruppen? Die gemeinsame Nutzung von CVE-2025-8088 durch RomCom und Gamaredon ist suggestiv. Wenn verschiedene russische Gruppen Zugang zu denselben Zero-Days haben, impliziert dies ein Maß an Koordination oder Informationsaustausch, das über eine einzelne operative Zusammenarbeit hinausgeht. Dies könnte Probleme für die Verteidiger schaffen: Eine Schwachstelle, die nach der Ausnutzung durch eine Gruppe entdeckt und gepatcht wird, könnte bereits von anderen bekannt sein und genutzt werden. Der Lebenszyklus von Zero-Days könnte sich verkürzen, mit gleichzeitiger Ausnutzung durch mehrere Akteure, bevor ein Patch verfügbar ist.
Die zunehmende Nutzung legitimer Cloud-Dienste für Command and Control und Exfiltration, wie für Gamaredon mit Tebi und Wasabi dokumentiert, ist ein Trend, der sich konsolidieren wird. Aus Sicht der Angreifer liegen die Vorteile auf der Hand: Der Verkehr zu legitimen Cloud-Diensten ist schwer von gutartigem Verkehr zu unterscheiden, die Anbieter bieten eine hervorragende Zuverlässigkeit und Bandbreite, und die Kosten sind minimal. Für die Verteidiger bedeutet dies, dass der alte Ansatz, bösartige Domains und IPs zu blockieren, immer weniger wirksam wird. Die Erkennung muss sich auf die Verhaltensanalyse verlagern: nicht wo der Zugriff stattfindet, sondern wie und warum.
Die Frage der KI wirft auch Fragen der Verteidigung auf. Die Prognosen für 2026 stimmen darin überein, dass die Identität und nicht mehr der Netzwerkperimeter zum Hauptschlachtfeld wird. Bei den Angriffen wird es nicht mehr darum gehen, durch Firewalls "einzudringen", sondern sich mit legitimen oder kompromittierten Anmeldeinformationen "anzumelden". Die Techniken von MuddyWater für internes Spearphishing sind eine Vorschau auf diese Zukunft. Da Fernarbeit und cloudbasierte Arbeit weiter normalisiert werden, werden Authentifizierungsprozesse immer stärker ins Visier genommen. Voice Cloning, Deepfakes und KI-generierte Personas werden es unglaublich schwierig machen, echte Anfragen von bösartigen zu unterscheiden.
Eine letzte Überlegung betrifft die Lücke zwischen Erkennung und Zuordnung. Der ESET-Bericht ist gerade deshalb so wertvoll, weil er eine zuverlässige Zuordnung auf der Grundlage umfassender Telemetrie und tiefgreifender Analysen liefert. Aber wie viele Angriffe werden erkannt, ohne dass sie mit Sicherheit zugeordnet werden können? Wie viele Operationen bleiben völlig unbemerkt? Das Signal-Rausch-Verhältnis in der Welt der Bedrohungsintelligenz wird sich 2026 verschlechtern. APT-Gruppen lernen aus öffentlichen Offenlegungen und ändern ihre TTPs, um eine Erkennung zu vermeiden. Die Verwendung von Open-Source-Tools und Techniken, die mehreren Akteuren gemeinsam sind, macht es immer schwieriger, separate Kampagnen zu unterscheiden oder Aktivitäten dem richtigen Bedrohungsakteur zuzuordnen. Für Organisationen, die sich verteidigen müssen, bedeutet dies, dass sie sich nicht nur auf Kompromittierungsindikatoren oder gruppenspezifische Bedrohungsintelligenz verlassen können, sondern robuste Abwehrmaßnahmen gegen allgemeine Techniken und Verhaltensweisen aufbauen müssen.
Was das für uns bedeutet
Es ist leicht, Berichte wie den von ESET zu lesen und sich von der Weite und Raffinesse der Bedrohungen überfordert zu fühlen. Ein produktiverer Ansatz ist jedoch, sich zu fragen: Wer gewinnt und wer verliert durch diese Dynamik? Und was können wir konkret tun, um uns in dieser Landschaft zurechtzufinden?
Europäische Unternehmen befinden sich in einer heiklen Lage. Der Bericht dokumentiert, dass nicht-ukrainische Ziele, die von russischen Gruppen getroffen werden, oft strategische oder operative Verbindungen zur Ukraine aufweisen. Das bedeutet, dass Unternehmen in Italien, Deutschland, Frankreich oder anderen EU-Ländern, die Handelspartnerschaften, gemeinsame Projekte oder einfach nur Lieferbeziehungen mit ukrainischen Entitäten haben, ins Fadenkreuz geraten könnten, nicht weil sie sind, was sie sind, sondern weil sie wissen, wen sie kennen. Das ist eine Risikoberechnung, die viele CFOs und CISOs wahrscheinlich noch nicht systematisch durchführen. Sollten sie?
Strategische Sektoren sind nach wie vor am stärksten gefährdet. Verteidigung, Energie, Kryptowährungen, Technologie, Gesundheitswesen, Transport: Wenn Ihre Organisation in einem dieser Bereiche tätig ist, ist das Bedrohungsniveau strukturell höher. Das ist keine Paranoia, sondern eine statistische Realität, die durch jahrelange APT-Aktivitäten dokumentiert ist. Dies sollte sich in proportionalen Sicherheitsbudgets niederschlagen, nicht in der Hoffnung, zu klein zu sein, um bemerkt zu werden. Die ESET-Telemetrie zeigt, dass staatliche Akteure nicht zwischen multinationalen Konzernen und kleinen Unternehmen unterscheiden, wenn letztere Zugang zu strategisch wertvollen Informationen oder Systemen haben.
Die Lücke zwischen Erkennung und Zuordnung wirft eine wichtige organisatorische Frage auf: Wie wichtig ist es zu wissen, wer Sie angegriffen hat? Für Geheimdienste sehr viel. Für einen CISO, der die Unternehmensinfrastruktur schützen muss, vielleicht weniger als man denkt. Zu wissen, ob der Angreifer Gamaredon oder Lazarus ist, ist akademisch interessant, aber die praktischen Abhilfemaßnahmen sind oft dieselben: Netzwerksegmentierung, geringste Privilegien, starke Authentifizierung, Überwachung von Anomalien, Offline-Backups, Übungen zur Reaktion auf Vorfälle. Vielleicht liegt der wahre Wert der ESET-Berichte nicht in der präzisen Zuordnung, sondern in der Dokumentation von Techniken, Mustern und in der Validierung, dass bestimmte Angriffe real und keine theoretischen Hypothesen sind.
Es gibt auch eine breitere geopolitische Dimension, die es wert ist, berücksichtigt zu werden. Die Konzentration von Cyber-Aktivitäten auf den Wettbewerb zwischen den USA und China, auf den Krieg in der Ukraine, auf die Konfrontation mit dem Iran ist kein Zufall. Wir leben in einer Zeit der Rivalität zwischen Großmächten, die sich sowohl im digitalen als auch im physischen Raum manifestiert. Für kleinere Länder oder multinationale Unternehmen, die global tätig sind, schafft dies ein Minenfeld, in dem Neutralität schwer aufrechtzuerhalten ist. Jede strategische Entscheidung, jede Partnerschaft, jeder Markteintritt bringt Cyber-Implikationen mit sich, die bewertet werden müssen.
Die Rolle von Threat-Intelligence-Firmen wie ESET wird in diesem Zusammenhang immer wichtiger. Nicht nur, weil sie Erkennungs- und Schutz-Tools bereitstellen, sondern weil sie die gemeinsame Wissensbasis schaffen, die es der Sicherheitsgemeinschaft ermöglicht, Bedrohungen zu verstehen und darauf zu reagieren. Jede identifizierte und verantwortungsbewusst offengelegte Zero-Day-Schwachstelle, jede neue analysierte und dokumentierte Malware, jede zugeordnete TTP trägt zur kollektiven Verteidigung bei. Es ist ein Ökosystem, das auf Transparenz und Austausch beruht, Werte, die in einer Branche, in der viele Unternehmen es vorziehen, über Vorfälle zu schweigen, aus Angst vor Reputationsschäden, nicht selbstverständlich sind.
Schließlich eine Reflexion darüber, was wir nicht wissen. Der ESET-Bericht deckt sechs Monate ab und dokumentiert Dutzende von Kampagnen. Aber wie viele sind der Telemetrie entgangen? Wie viele APT-Gruppen operieren unter dem Radar, noch nicht identifiziert oder verfolgt? Wie viele Operationen sind so gut ausgeführt, dass sie nicht genügend Spuren für eine Analyse hinterlassen? Cyber-Intelligenz leidet, wie jede Form von Intelligenz, unter dem Problem des bekannten Unbekannten gegenüber dem unbekannten Unbekannten. Wir können uns auf Bedrohungen vorbereiten, die wir kennen und verstehen, aber wie verteidigen wir uns gegen diejenigen, die wir noch nicht entdeckt haben?
Die pragmatische Antwort lautet, Resilienz aufzubauen, nicht nur Schutz. Annehmen, dass Verstöße unvermeidlich sind, und Systeme so zu gestalten, dass sie auch bei einer Kompromittierung weiterarbeiten können. Dies erfordert einen Sinneswandel: von "Wie verhindere ich den Angriff?" zu "Wie begrenze ich den Schaden, wenn der Angriff erfolgreich ist?". Es ist der Unterschied zwischen dem Bau immer höherer Mauern und der Akzeptanz, dass jemand sie erklimmen könnte, und daher der Vorbereitung von Plänen zur Eindämmung, Isolierung und schnellen Reaktion.
Der ESET-Bericht für das zweite und dritte Quartal 2025 ist nicht nur ein Katalog von Bedrohungen. Er ist ein Spiegel, der die Spannungen unserer Zeit widerspiegelt, übersetzt in Spearphishing-Kampagnen, Zero-Day-Exploits und leise Backdoors. Er zeigt uns eine Welt, in der Krieg nicht nur mit kinetischen Waffen, sondern mit Codezeilen geführt wird, in der Geheimdienste ganze Cyber-Einheiten für Ziele mobilisieren, die vom Diebstahl von geistigem Eigentum bis zur Unterbrechung kritischer Infrastrukturen reichen, in der die Grenze zwischen Cyberkriminalität und Cyberspionage immer unschärfer wird.
Im Jahr 2026 werden sich diese Trends wahrscheinlich verstärken. KI wird Angriffe skalierbarer und ausgefeilter machen. Die Zusammenarbeit zwischen APT-Gruppen könnte häufiger werden. Strategische Sektoren werden zunehmenden Druck erfahren. Zero-Days werden schneller unter den Gegnern zirkulieren. Die Identität wird zum neuen zu verteidigenden Perimeter. Aber dies im Voraus zu wissen, ist bereits ein Vorteil. Wie das alte Sprichwort sagt: Ein gewarnter Mann ist so gut wie zwei. Der Rest hängt davon ab, wie ernst wir die Warnung nehmen.