Im Schatten der Weltpolitik: Was APT-Gruppen im Halbjahr Q4 2024 bis Q1 2025 trieben

Cyberangriffe sind längst Teil der geopolitischen Realität – das zeigt der aktuelle APT Activity Report von ESET Research. Zwischen Oktober 2024 und März 2025 dokumentierten die Analysten eine Vielzahl staatlich gesteuerter Spionage- und Sabotagekampagnen. Die Angriffe zielten auf diplomatische Einrichtungen, Rüstungsunternehmen, Industriepartner und Betreiber kritischer Infrastruktur. Der Bericht beleuchtet beispielhaft die Aktivitäten sogenannter Advanced Persistent Threats (APT), also von Angreifern, die meist langfristige politische oder wirtschaftliche Ziele verfolgen – mit teils hochentwickelten Mitteln.

China: Spionage gegen Verwaltung, Logistik und Staatstechnik

Besonders aktiv waren erneut China-nahe Gruppen, allen voran Mustang Panda. Diese intensivierten ihre Spionageaktivitäten gegen europäische Behörden und Unternehmen der maritimen Logistik. Dabei kamen unter anderem die Spionagesoftware Korplug und präparierte USB-Sticks zum Einsatz. Auch DigitalRecyclers trat in Erscheinung: Die Gruppe griff gezielt EU-Institutionen an und setzte dabei auf das Anonymisierungsnetzwerk KMA VPN. Dabei platzierten sie mehrere Backdoors wie beispielsweise RClient, HydroRShell und GiftBox in kompromittierten Systemen.

Eine neue Gruppe, von ESET unter dem Namen PerplexedGoblin geführt, setzte erstmals das speziell entwickelte Spionagewerkzeug NanoSlate ein. Ziel war eine Regierungsbehörde in Mitteleuropa. Parallel dazu attackierte die bekannte Gruppe Webworm eine serbische Regierungseinrichtung und nutzte dafür erneut SoftEther VPN. Dieses Tool gehört seit Jahren zum Repertoire bei China-nahen APTs.

Auch die Infrastruktur rund um ShadowPad blieb im Fokus der ESET Experten. Diese taucht gelegentlich in Ransomware-Fällen auf und soll eher davon ablenken, dass der eigentliche Zweck in klassischer Cyberspionage liegt. Diese ist oftmals gut getarnt und auf lange Wirkung angelegt.

Iran: Diplomatie mit digitalen Hintertüren

Iranische Gruppen traten in dieser Phase nicht nur als Spione, sondern auch als Zerstörer auf. Die Gruppe MuddyWater kombinierte klassische Spearphishing-Kampagnen mit der Nutzung von Fernwartungssoftware. Auffällig war die enge Zusammenarbeit mit Lyceum, einer Untereinheit der bekannten OilRig-Infrastruktur. Gemeinsam attackierten sie ein israelisches Fertigungsunternehmen.

Im gleichen Atemzug fiel BladedFeline erneut auf, als sie eine bereits zuvor angegriffene Telekommunikationsfirma in Usbekistan attackierte. Dies geschah genau zu dem Zeitpunkt, als der Iran seine diplomatischen Beziehungen in der Region intensivierte. Besonders besorgniserregend war jedoch die Aktivität von CyberToufan: Die Gruppe setzte gezielt einen Wiper-Angriff gegen mehrere israelische Organisationen ein und vernichtete dabei Daten nachhaltig.

Nordkorea: Malware mit Millionenwirkung

Nordkoreanische APTs konzentrierten sich vor allem auf wirtschaftlich lukrative Ziele. Die Gruppe DeceptiveDevelopment baute ihre Angriffe massiv aus und fokussierte sich auf die Krypto-, Blockchain- und Finanzbranche. Dabei kamen ausgeklügelte Social-Engineering-Techniken zum Einsatz. Dazu zählen manipulierte GitHub-Beiträge und sogenannte ClickFix-Angriffe, über die die plattformübergreifende Malware WeaselStore verteilt wurde.

Der wohl spektakulärste Vorfall: ein Angriff auf das Wallet-Projekt Safe{Wallet}. Dabei wurden Kryptowährungen im Wert von rund 1,5 Milliarden US-Dollar gestohlen. Die US-Bundespolizei FBI macht die Gruppe TraderTraitor mit ihrem Supply-Chain-Angriff  und für die massiven Folgen verantwortlich.

Auch andere nordkoreanische Cyber-Banden kehrten zurück. Kimsuky und Konni, die Ende 2024 ihre Aktivitäten zurückgefahren hatten, fokussierten sich Anfang 2025 wieder verstärkt auf südkoreanische Behörden und diplomatisches Personal. Zuvor hatten sie vor allem englischsprachige NGOs und Thinktanks angegriffen. Nach längerer Funkstille trat zudem Andariel mit einem gezielten Angriff auf ein südkoreanisches Unternehmen in Erscheinung, das Industriesoftware entwickelt.

Russland: Strategisch, zerstörerisch – und technisch ausgefeilt

Russland-nahe Gruppen wie Sednit, Gamaredon und Sandworm hielten auch in diesem Berichtszeitraum an ihrer aggressiven Linie fest. Der Fokuslag wieder auf der Ukraine und den EU-Staaten. Sednit weitete ihre Kampagne Operation RoundPress aus: Neben Roundcube wurden nun auch Horde, Zimbra und MDaemon als Webmail-Systeme angegriffen. Besonders heikel: Sednit nutzte eine bis dato unbekannte Schwachstelle in MDaemon (CVE-2024-11182), die ESET entdeckte und an den Hersteller meldete.

Auch RomCom zeigte ihre technische Raffinesse und setzte gleich zwei Zero-Day-Exploits ein: einen gegen Mozilla Firefox (CVE-2024-9680), den anderen gegen Microsoft Windows (CVE-2024-49039). Beide Sicherheitslücken wurden von ESET offengelegt und an die jeweiligen Hersteller übermittelt.

Während Sednit gezielt E-Mail-Kommunikation kompromittierte, verfolgte Gamaredon eine andere Taktik. Sie perfektionierten die Verschleierung ihrer Malware und entwickelten mit PteroBox ein Tool, das gestohlene Dateien über Dropbox exfiltrieren konnte. Die Hacker von Sandworm gingen noch weiter und verfolgten erneut klar destruktive Ziele. Mit Hilfe von Active Directory Gruppenrichtlinien verteilten sie eine neue Wiper-Malware namens ZEROLOT an ukrainische Energieunternehmen. In der Vorbereitungsphase setzten die Angreifer auf RMM-Software (Remote Monitoring and Management Software), um die Kontrolle über zentrale Systeme zu erlangen.

Weitere Aktivitäten: Spionage am Rande des Radars

Neben den bekannten Akteuren dokumentierte ESET auch mehrere kleinere, aber bemerkenswerte Operationen. So richtete sich die Gruppe APT-C-60 gegen Einzelpersonen in Japan, die vermutlich Verbindungen nach Nordkorea unterhalten. Eine bisher nicht identifizierte Gruppe führte unterdessen eine Phishing-Kampagne durch, bei der gefälschte Webseiten des World Economic Forum und ukrainischer Wahlkommissionen verwendet wurden. Ziel war es, sensible Daten von ukrainischen Regierungsvertretern und Diplomaten abzugreifen.

Schließlich war auch StealthFalcon aktiv, die in der Vergangenheit mit den Vereinigten Arabischen Emiraten in Verbindung gebracht wurde. Im aktuellen Berichtszeitraum führten sie Cyberoperationen in der Türkei und in Pakistan durch, mutmaßlich zur politischen Informationsgewinnung.

Fazit: Digitale Konflikte als Spiegel geopolitischer Spannungen

Der Bericht zeigt deutlich, dass APT-Angriffe kein Randphänomen sind, sondern Ausdruck einer globalen Machtverschiebung im digitalen Raum. Die Ziele reichen von Informationsdiebstahl über digitale Sabotage bis hin zu wirtschaftlicher Ausbeutung. Gleichzeitig verschwimmen die Grenzen zwischen staatlicher Einflussnahme und krimineller Energie immer weiter.

Wer als Unternehmen oder Behörde nicht zum digitalen Kollateralschaden geopolitischer Spannungen werden will, muss Risiken früh erkennen. Professionelle Threat Intelligence wie die von ESET liefert hierfür nicht nur verlässliche Daten, sondern auch ein tiefes Verständnis der Akteure, Techniken und Zusammenhänge. Denn wer versteht, wie APTs denken, kann besser entscheiden, wie man sich schützt.