Cybersicherheit: Chinesische APT-Gruppe Webworm greift Europa an

Neue Erkenntnisse von Ende Mai 2026 zeigen eine besorgniserregende Entwicklung – chinesische, iranische und russische Gruppen nutzen zunehmend Künstliche Intelligenz und legitime Cloud-Dienste für ihre Spionagekampagnen. Besonders im Fokus: Regierungsnetzwerke und die globale Software-Lieferkette.

Chinesische Gruppe Webworm erreicht Europa

Sicherheitsforscher von ESET enthüllten am 26. Mai 2026, dass die als Webworm bekannte Advanced-Persistent-Threat-Gruppe (APT) ihr Arsenal grundlegend modernisiert hat. Die Gruppe, die seit mindestens 2022 aktiv ist, zielt nun gezielt auf europäische Regierungen – mit konkreten Aktivitäten in Belgien.

Angesichts der rasanten Entwicklung staatlicher Hackergruppen und dem Einsatz von KI in Schadsoftware stehen Unternehmen vor völlig neuen Herausforderungen. In diesem kostenlosen E-Book erfahren Sie, wie Sie aktuelle Bedrohungen frühzeitig erkennen und Ihre IT-Infrastruktur ohne massives Budget absichern. Cyber Security Trends und Schutzmaßnahmen jetzt kostenlos entdecken

Das neue Toolkit besteht aus zwei Hauptkomponenten. EchoCreep nutzt die beliebte Kommunikationsplattform Discord für die Steuerung der Schadsoftware. GraphWorm wiederum bedient sich der Microsoft-Graph-API. Durch die Nutzung dieser legitimen Dienste umgehen die Hacker herkömmliche Netzwerkfilter, die verdächtige Verbindungen zu unbekannten Servern blockieren würden.

Die Ausweitung nach Europa und Südafrika markiert eine strategische Wende. Bislang konzentrierte sich Webworm vor allem auf asiatische Ziele. Die Anpassungsfähigkeit der Gruppe deutet auf ein langfristiges Engagement zur Spionage gegen westliche Regierungsinstitutionen hin.

Iranische Gruppen setzen auf KI und SEO-Manipulation

Parallel dazu hat die mit dem Iran verbundene Gruppe Nimbus Manticore ihre Aktivitäten gegen die Luftfahrt-, Software- und Energiebranche intensiviert. Die Operation trug den Codenamen „Operation Epic Fury“ und erstreckte sich von Februar bis April 2026.

Die Kampagne verlief in drei Wellen. Im Februar nutzten die Angreifer eine als OnlyOffice-Software getarnte ZIP-Datei, um die Hintertür MiniJunk V2 einzuschleusen. Einen Monat später folgte ein manipulierte Zoom-Installer, der die neue Schadsoftware MiniFast verteilte.

Im April setzte die Gruppe erstmals auf SEO-Poisoning: Eine gefälschte Website für Oracle SQL Developer lockte professionelle Entwickler in die Falle. Besonders brisant: Die Code-Strukturen von MiniFast deuten auf den Einsatz Künstlicher Intelligenz hin – ein Meilenstein in der technischen Entwicklung iranischer Staatstrojaner.

Schlag gegen die Schatten-Infrastruktur

Während die Hackergruppen ihre Methoden verfeinern, gehen die Behörden gegen die zugrundeliegende Infrastruktur vor. Am 18. Mai 2026 verhaftete die niederländische Steuerfahndung FIOD zwei Männer in Amsterdam und Den Haag.

Die Verdächtigen – der 57-jährige Youssef Z. und der 39-jährige Andrey N. – sollen über die Firmen WorkTitans und MIRhosting einen „bulletproof“-Hosting-Dienst betrieben haben. Die Firmen dienten als Tarnung für Stark Industries, ein Unternehmen, das unter EU-Sanktionen steht. Die mehr als 800 beschlagnahmten Server wurden von der russischen Gruppe NoName057(16) für DDoS-Angriffe genutzt – unter anderem gegen dänische Wahlsysteme bei den Kommunalwahlen im November 2025.

In einem weiteren Fall lieferte Italien im Mai 2026 den chinesischen Staatsbürger Xu Zewei an die USA aus. Ihm werden Angriffe auf medizinische Forschungseinrichtungen und Universitäten während der COVID-19-Pandemie vorgeworfen.

Bedrohung für die Software-Lieferkette

Die Verwundbarkeit der Softwareentwicklung bleibt das größte Sorgenkind der Tech-Branche. Am 26. Mai 2026 gelang einem Bündnis aus CrowdStrike, Google und der Shadowserver Foundation die Zerschlagung des Glassworm-Botnetzes. Das von russischen Akteuren betriebene Netzwerk war seit Anfang 2025 aktiv und infizierte Entwickler über mehr als 300 manipulierte GitHub-Repositories und bösartige Visual-Studio-Code-Erweiterungen.

Da Hacker zunehmend auf psychologische Tricks und die Umgehung der Zwei-Faktor-Authentifizierung setzen, wird die Sensibilisierung der Mitarbeiter zum entscheidenden Sicherheitsfaktor. Dieser praxisnahe Ratgeber zeigt Ihnen in vier Schritten, wie Sie Ihr Unternehmen effektiv gegen komplexe Phishing-Kampagnen wappnen. Kostenloses Anti-Phishing-Paket für Ihr Unternehmen sichern

Die „TrapDoor“-Kampagne zielt ebenfalls auf Entwickler: Dutzende schädliche Pakete auf Plattformen wie npm, PyPI und Crates.io stehlen sensible Daten wie AWS-Zugangsdaten, GitHub-Tokens und SSH-Schlüssel. Besonders perfide: TrapDoor manipuliert gezielt Dateien KI-gestützter Programmierassistenten.

Das FBI warnte zudem vor der Phishing-as-a-Service-Plattform Kali365, die selbst weniger versierten Angreifern ermöglicht, die Zwei-Faktor-Authentifizierung zu umgehen und OAuth-Tokens für Microsoft-365-Umgebungen zu stehlen.

Analyse: Die neue Qualität der Bedrohung

Die Häufung hochkarätiger Angriffe im Mai 2026 zeigt die wachsende Komplexität der geopolitischen Cyberlage. Die Nutzung legitimer Plattformen wie Discord, Microsoft Graph und Azure durch Gruppen wie Webworm belegt eine erfolgreiche „Living-off-the-Cloud“-Strategie – die Angreifer bleiben über lange Zeiträume unentdeckt.

Die Integration von KI in die Malware-Entwicklung, wie bei Nimbus Manticore zu sehen, senkt die Hürden für komplexe Programmierarbeit. Gleichzeitig steigt die Geschwindigkeit, mit der APT-Gruppen ihre Werkzeuge weiterentwickeln. Die gezielten Angriffe auf Entwickler und die Software-Lieferkette durch Glassworm und TrapDoor markieren einen Shift zu vorgelagerten Angriffen: Ein einziger kompromittierter Entwickler kann den Zugang zu unzähligen Unternehmen öffnen.

Ausblick: Was nun auf uns zukommt

Branchenexperten erwarten, dass der Missbrauch seriöser Cloud-Infrastrukturen weiter zunehmen wird. Sicherheitsanbieter müssen granularere Verhaltensanalysen entwickeln. Die Zerschlagung des Glassworm-Botnetzes und die Festnahmen in den Niederlanden signalisieren jedoch ein entschlosseneres Vorgehen westlicher Behörden gegen die Hosting-Infrastruktur staatlicher Hacker.

Für europäische Regierungen bleibt die Zusammenarbeit zwischen öffentlicher Hand und Privatwirtschaft der Schlüssel. Die Koordination zwischen Forschungsfirmen wie ESET und CrowdStrike mit Behörden wie dem FBI und der niederländischen FIOD ist der primäre Mechanismus zur Identifikation und Abwehr dieser Bedrohungen. Der Schutz von KI-Entwicklungswerkzeugen und die Sicherheit von Entwicklerumgebungen werden zu zentralen Säulen nationaler und unternehmerischer Cybersicherheitsstrategien.

de | wissenschaft | 69423619 |