Italienischer Behörden-Hack: Chinesische Gruppen im Visier

Der Angriff, der Anfang Mai bekannt wurde, zeigt eine neue Qualität staatlich gesteuerter Spionage: Statt Datenraub steht die systematische Kartierung kritischer Infrastruktur im Vordergrund.

Die Angreifer hielten sich rund 20 Tage unentdeckt in den Systemen eines IBM-Tochterunternehmens, das für mehrere italienische Regierungsbehörden die digitale Infrastruktur betreibt. Betroffen waren Plattformen der Sozialversicherung, der Versicherungsaufsicht sowie Systeme zur Verwaltung der nationalen Aufbau- und Resilienzprogramme nach der Pandemie.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen — ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen

Präzise Operation mit strategischem Ziel

Sicherheitsforscher von Decode39 beschreiben den Vorfall als „Präzisionsoperation" mit bemerkenswerter Zurückhaltung. Es gab keine Systemausfälle oder sichtbaren Störungen. Stattdessen deute das taktische Vorgehen auf eine Vermessung der Netzwerke hin – die Angreifer suchten nach Schwachstellen und Hebelpunkten für künftige Aktionen.

Die eingesetzten Methoden – laterale Bewegung durchs Netz und langfristige Präsenz – ähneln denen der Gruppe Salt Typhoon, die bereits für Spionagekampagnen gegen westliche Infrastruktur bekannt ist. Eine offizielle Zuordnung steht noch aus, doch die Parallelen sind nach Einschätzung der Ermittler signifikant.

Obwohl keine massiven Datenlecks bestätigt sind, gehen Experten davon aus, dass während der dreiwöchigen Präsenz sensible Informationen abgeflossen sein dürften.

Neue Bedrohungsakteure in Südosteuropa

Parallel zum Italien-Vorfall veröffentlichten Analysten von Cisco Talos am 5. Mai Erkenntnisse über eine weitere chinesische Gruppe mit der Bezeichnung UAT-8302. Diese Einheit hat im vergangenen Jahr und bis ins Frühjahr 2026 gezielt Regierungsbehörden in Südosteuropa angegriffen.

Die Gruppe setzt eine hochentwickelte Tool-Palette ein, darunter die Hintertür „CloudSorcerer 3.0" und das Persistenz-Werkzeug „NetDraft". Der Zugang erfolgt meist über Zero-Day-Lücken oder kürzlich bekannt gewordene Schwachstellen in Webanwendungen und Microsoft-Exchange-Servern. Einmal im Netz, führen die Angreifer umfassende Aufklärung durch und bewegen sich lateral zu besonders wertvollen Servern.

Forscher von Trend Micro identifizierten zudem die Gruppe SHADOW-EARTH-053, die sich auf eine NATO-Regierung in Europa konzentriert. Sie nutzt „Godzilla"-Webshells für dauerhaften Zugang und „ShadowPad"-Implantate. Bemerkenswert: Die Angreifer mischen ihren Command-and-Control-Traffic gezielt unter legitime Microsoft-Cloud-Aktivitäten, um der Entdeckung zu entgehen.

Öffentliche Verwaltung im Visier – 38 Prozent aller Angriffe

Die aktuelle Welle bestätigt Daten der EU-Agentur für Cybersicherheit ENISA. Deren Bericht für 2025/2026 weist die öffentliche Verwaltung mit 38,2 Prozent aller gemeldeten Vorfälle als das am stärksten betroffene Segment in der Europäischen Union aus. Der Grund: Die Behörden steuern kritische Dienste und repräsentieren mit knapp der Hälfte des EU-BIP ein enormes wirtschaftliches Gewicht.

Die EU hat im Frühjahr 2026 reagiert und Sanktionen gegen mehrere mit chinesischen Hackergruppen verbundene Unternehmen und Einzelpersonen verhängt. Betroffen sind unter anderem die Integrity Technology Group und Anxun Information Technology (bekannt als i-Soon). Integrity Technology soll die Infrastruktur für die Gruppe Flax Typhoon bereitgestellt haben, die zwischen 2022 und 2023 mindestens 65.000 IoT-Geräte in sechs EU-Staaten kompromittierte.

Gegen die i-Soon-Mitgründer Chen Cheng und Wu Haibo wurden ebenfalls Sanktionen verhängt. Ihnen wird vorgeworfen, „Hacking-as-a-Service"-Dienste gegen kritische Infrastruktur von EU-Mitgliedstaaten angeboten zu haben.

Rekord-Schäden durch Phishing und Cyberkriminalität zeigen, dass technische Filter allein nicht ausreichen. Experten erklären in diesem kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich durch gezielte Awareness wirksam schützen kann. Gratis-Paket zur Hacker-Abwehr anfordern

Vom Datendiebstahl zur strategischen Positionierung

Sicherheitsexperten beobachten einen grundlegenden Strategiewechsel: Während frühere Kampagnen auf geistiges Eigentum oder Impfstoffforschung zielten – wie während der Pandemie, als Labore in Deutschland angegriffen wurden –, geht es heute um tiefe Infrastruktur-Infiltration.

Durch die Kompromittierung von Telekommunikationsanbietern und Dienstleistern des öffentlichen Sektors verschaffen sich staatlich gesteuerte Hacker indirekten Zugang zu Systemen, die Stromnetze, Pipelines und Krankenhäuser steuern. Das Bundesinnenministerium hat wiederholt vor solchen Operationen gewarnt. Bundesinnenministerin Nancy Faeser bezeichnete staatlich gesteuerte Angriffe als Bedrohung der nationalen Souveränität.

Die Täter setzen zunehmend auf „Relay Nodes" und nutzen falsch konfigurierte SharePoint- oder Microsoft-IIS-Server. Diese Taktik erlaubt ihnen ein „leises" Vorgehen – sie breiten sich über Infrastruktur aus, die gemeinsame Verwaltungsmuster oder Zugangsdaten teilt.

Ausblick: Die digitale Dauerschlacht

Die anhaltende Präsenz chinesischer Hackergruppen in europäischen Netzwerken deutet darauf hin, dass der digitale Schauplatz zum Dauerzustand geopolitischer Auseinandersetzungen wird. Während die EU die NIS2-Richtlinie und andere Cybersicherheitsrahmen umsetzt, dürfte der Fokus künftig auf der Resilienz von Lieferketten und dem Schutz externer Dienstleister liegen.

Die Ermittler in Italien und Südosteuropa bleiben in höchster Alarmbereitschaft. Die bei den jüngsten Einbrüchen erbeuteten Daten könnten in künftigen Operationen genutzt werden. Analysten prognostizieren, dass die Professionalisierung des „Hacker-für-Miete"-Marktes und die Weiterentwicklung maßgeschneiderter Hintertüren wie ToneShell und FinalDraft eine proaktivere, erkenntnisgesteuerte Verteidigung erfordern. Künftige Strategien werden sich nicht nur auf die Verhinderung des Ersteinstiegs konzentrieren, sondern vor allem auf die schnelle Erkennung lateraler Bewegungen, um die Verweildauer von Angreifern in den Netzen zu minimieren.

de | wissenschaft | 69286419 |