FortiBleed: CISA warnt vor Leak von 74.000 Geräte-Zugängen
21.06.2026 - 00:04:15 | boerse-global.de
Singapur hat einen massiven Cyberangriff aus China auf seine Telekommunikationsinfrastruktur abgewehrt.
Die Cyber Security Agency (CSA) des Stadtstaats veröffentlichte nun die Details der Abwehroperation „Cyber Guardian". Ziel war die chinesische Advanced-Persistent-Threat-Gruppe UNC3886. Die Hacker hatten im Juli 2025 ihre Kampagne gestartet und sich auf die großen Telekommunikationsanbieter des Landes konzentriert – darunter Singtel, StarHub, M1 und SIMBA.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Report jetzt herunterladen
Zero-Day-Lücken als Einfallstor
Die Angreifer nutzten bis dahin unbekannte Sicherheitslücken (Zero-Day-Exploits), um in die Netzwerksysteme einzudringen. Die CSA warnt: Weitere Versuche seien wahrscheinlich. Ein positives Signal immerhin: Nach Angaben der Behörde wurden bei diesem spezifischen Einbruch keine sensiblen Daten gestohlen.
Der Fall reiht sich ein in eine weltweite Welle von Angriffen chinesischer Gruppen auf kritische Infrastruktur. Sicherheitsforscher und Regierungsbehörden melden seit Monaten neue Malware-Varianten und hochentwickelte Hintertüren.
Neue Schadsoftware: EchoCreep und GraphWorm
Die Gruppe Webworm hat gleich zwei neue Backdoors im Einsatz: EchoCreep und GraphWorm. Ihr Ziel: Organisationen in Asien und Europa.
- EchoCreep nutzt den Kommunikationsdienst Discord für die Steuerung der Schadsoftware (Command-and-Control, C2). Forscher identifizierten seit März 2024 mehr als 400 Nachrichten über diese Plattform.
- GraphWorm tarnt seinen Datenverkehr über die Microsoft Graph API – eine besonders raffinierte Tarnung.
Beide Werkzeuge werden oft mit eigener Proxy-Software und Tools wie SoftEther VPN kombiniert, um traditionelle Sicherheitsbarrieren zu umgehen.
Google Sheets als Daten-Schleuder
In einem weiteren Fall zerschlug Google Threat Intelligence die Infrastruktur der Gruppe UNC2814, auch bekannt als Gallium. Die Gruppe hatte 53 Organisationen in 42 Ländern angegriffen – vorwiegend Regierungen und Telekommunikationsunternehmen.
Die Methode war ungewöhnlich: Die Hacker nutzten Google Sheets, um ihre Datendiebstähle zu verschleiern. Sie erbeuteten persönliche Identifikationsnummern, Telefonaufzeichnungen und Geburtsdaten – bevor ihre Cloud-Projekte und Konten stillgelegt wurden.
Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie man sie entlarvt. Anti-Phishing-Paket für Unternehmen kostenlos sichern
Cisco-Schwachstelle und „FortiBleed"
Die Angreifer zielen zunehmend auf Netzwerk-Hardware. Cisco schloss kürzlich eine kritische Lücke in seinem Betriebssystem AsyncOS (CVE-2025-20393), die seine Secure Email Gateway-Produkte betraf. Die chinesische Gruppe UAT-9686 nutzte diesen Fehler seit November 2025 aus, um Befehle mit Root-Rechten auszuführen.
Noch alarmierender war der Vorfall um „FortiBleed" : Am 18. Juni 2026 gab die US-Behörde CISA eine Notfallwarnung heraus. Grund: Ein massiver Leak von Zugangsdaten für rund 74.000 Fortinet-Geräte – darunter Firewalls und VPNs.
Eine russischsprachige Gruppe soll mit einem Hochleistungs-GPU-Cluster mehr als 1,16 Milliarden Anmeldeversuche gegen Hunderttausende FortiGate-Ziele unternommen haben. Der Leak betrifft globale Konzerne aus Technologie, Finanzen und Industrie. Die Behörden empfehlen dringend: Sofortige Passwort-Änderungen und Zwei-Faktor-Authentifizierung.
Gezielte Spionage in Asien
Die chinesischen Aktivitäten sind regional hoch spezifisch. In der Mongolei wurde die Gruppe GopherWhisper identifiziert. Sie setzt eine Reihe von Go-basierten Backdoors wie LaxGopher und RatGopher ein, um Regierungsstellen anzugreifen. Auffällig: Der Datenverkehr der Gruppe folgt stets den regulären chinesischen Arbeitszeiten.
Die Gruppe Shadow-Earth-053 hat ihre operationen ausgeweitet und greift nun auch kritische Infrastruktur in NATO-Staaten und Asien an. Sie nutzt häufig bekannte Sicherheitslücken (N-Day) in Microsoft Exchange und Internet Information Services (IIS), um die Schadsoftware ShadowPad zu installieren. Ziel: dauerhafter Zugang und langfristige Geheimdienstbeschaffung.
