Chinesische Hacker setzen auf Blitzangriffe mit Ransomware

Die globale Cybersicherheitslage hat sich dramatisch verschärft. Neue Berichte belegen einen alarmierenden Trend: Chinesische Hacker verlagern ihren Fokus von Spionage auf schnelle, finanziell motivierte Ransomware-Angriffe. Sie kompromittieren Systeme teils innerhalb von 24 Stunden.

Storm-1175: Vom Spion zum Erpresser

Ein neu identifizierter Akteur treibt diesen taktischen Wandel voran. Die als Storm-1175 bekannte, in China ansässige Gruppe hat sich auf finanzielle Bereicherung spezialisiert und setzt die Medusa-Ransomware ein. Ihr Ziel sind Organisationen in den USA, Großbritannien und Australien.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-E-Book für Unternehmer jetzt kostenlos herunterladen

Die Gruppe zeichnet sich durch ein extrem hohes Operationstempo aus. Oft dauert es nur einen Tag vom ersten Netzwerkzugang bis zur vollständigen Datenverschlüsselung. Ihr Erfolgsrezept: die schnelle Identifizierung und Ausnutzung von Schwachstellen in internetfähigen Systemen.

Aktuell nutzt Storm-1175 eine Reihe kritischer Sicherheitslücken aus, darunter:
* CVE-2026-1731 in BeyondTrust-Software
* CVE-2025-31161 in CrushFTP
* CVE-2025-10035 in GoAnywhere MFT
* CVE-2025-52691 in SmarterMail

Die Exploits rotieren so schnell, dass viele Unternehmen angegriffen werden, bevor sie überhaupt Patches testen oder installieren können.

Operation TrueChaos: Angriff auf Regierungs-Kommunikation

Parallel dazu verfeinern andere Gruppen mit Verbindungen nach China weiterhin ihre Spionagefähigkeiten. Die kürzlich aufgedeckte „Operation TrueChaos“ zielt auf Regierungsstellen in Südostasien ab.

Die Hacker nutzen eine Zero-Day-Schwachstelle in der Videokonferenz-Software TrueConf (CVE-2026-3502). Über den Update-Mechanismus der Anwendung verteilen sie Schadcode auf verbundene Geräte. Die US-Cybersicherheitsbehörde CISA hat die Lücke bereits als aktiv ausgenutzt eingestuft und fordert US-Behörden zur schnellen Patchnung auf.

Einmal im System, installieren die Angreifer das Havoc-Kommandoframework – ein bei chinesischen Staatsakteuren beliebtes Tool für dauerhaften Zugriff.

Die Zeit läuft davon: Das Fenster für Patches schließt sich

Die Geschwindigkeit, mit der Zero-Day-Exploits in aktive Kampagnen integriert werden, stellt Unternehmen vor massive Probleme. Microsoft warnt: Das Zeitfenster zwischen der Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung schrumpft auf nahezu null.

Storm-1175 nutzte sogar Exploits für Lücken, die noch nicht öffentlich bekannt waren. Das deutet auf eigene Forschungsfähigkeiten oder Zugang zu hochwertigen Exploit-Märkten hin.

Besonders im Visier stehen Edge-Geräte und Unternehmensinfrastruktur wie VPN-Konzentratoren, Router und Backup-Lösungen. Diese Systeme bieten oft eine Angriffsfläche, da sie keine traditionelle Endpunkt-Sicherheitssoftware haben.

Rekord-Schäden durch Cyberkriminalität zwingen immer mehr Firmen zum Handeln. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken und Hacker-Angriffe schützen kann. Gratis Anti-Phishing-Paket für Unternehmen sichern

Neue Risikolage: Spionage und Erpressung verschmelzen

Die Grenze zwischen staatlicher Spionage und Cyberkriminalität verschwimmt zusehends. Indem chinesische Akteure die Werkzeuge von Ransomware-Banden übernehmen, können sie gleichzeitig finanzielle Schäden verursachen und Daten abgreifen. Dieses Dual-Threat-Modell erschwert die Zuordnung von Angriffen und die Reaktion darauf.

Die Branche reagiert mit einem verstärkten Fokus auf Zero-Trust-Architekturen und automatisierte Patch-Management-Systeme. Experten raten dringend davon ab, sich allein auf Perimeter-Abwehr zu verlassen. Stattdessen müsse das Monitoring auf anomales Verhalten im internen Netzwerk ausgeweitet werden.

Ausblick 2026: Der Wettlauf um Schwachstellen wird härter

Für das restliche Jahr 2026 prognostizieren Forscher weiterhin Rekordniveau bei Zero-Day-Angriffen. Der Markt für kommerzielle Spyware und Exploits ermöglicht es auch nicht-staatlichen Akteuren, hochwertige Schwachstellen zu erwerben.

Der entscheidende Faktor für den Schutz wird die Reaktionsgeschwindigkeit sein. Angreifer konzentrieren sich zunehmend auf die „N-Day“-Lücke – jenen kritischen Zeitraum direkt nach der Veröffentlichung eines Patches, in dem die meisten Systeme noch ungeschützt sind.

Die Branche bereitet sich auf ein Jahr vor, in dem „High-Velocity“-Angriffe zur neuen Normalität in der globalen Bedrohungslandschaft werden könnten.

de | boerse | 69101243 |