Operation Endgame: 300 Server und 27 Millionen Daten gesichert
25.06.2026 - 16:09:24 | boerse-global.de
Die Angreifer nutzen die Schadsoftware SharkLoader, um gezielt staatliche Einrichtungen und Unternehmen anzugreifen.
So funktioniert der Angriff
SharkLoader setzt auf DLL-Hijacking und führt Code direkt im Arbeitsspeicher aus. Das macht die Malware für klassische Sicherheitsprogramme schwer erkennbar. Ist das System erst infiziert, installiert der Schädling sogenannte Cobalt Strike Beacons. Diese Tools geben den Angreifern weitreichende Kontrolle über die kompromittierte Infrastruktur.
Die Experten von Kaspersky GReAT identifizierten mehrere Einfallstore. Die Hacker nutzen bekannte Sicherheitslücken in Microsoft Exchange, Microsoft SharePoint und der Kommunikationsplattform Openfire. Zudem setzen sie auf präparierte Installationsprogramme, um die Malware einzuschleusen.
Eine konkrete Zuordnung zu einer bekannten Hackergruppe steht noch aus.
Wer ist betroffen?
Die StrikeShark-Kampagne zeigt eine breite geografische Streuung. Schwerpunkte liegen in Asien, dem Nahen Osten und Südamerika. Betroffen sind Taiwan, Hongkong, Indonesien, Nepal, der Libanon und Syrien. In Europa registrierten die Forscher Aktivitäten in Serbien und Nordmazedonien.
Neben Regierungsbehörden und diplomatischen Einrichtungen stehen auch Softwareentwickler im Visier. Die Zielwahl deutet auf ein Interesse an politisch und wirtschaftlich strategischen Informationen hin.
Angriffe wie StrikeShark zeigen, wie gezielt Kriminelle nach Sicherheitslücken in Unternehmen suchen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Cyber Security Trends für Unternehmen kostenlos herunterladen
Weitere Bedrohungen: Mistic und Anatsa
Parallel zu StrikeShark sind neue Gefahren aufgetaucht. Sicherheitsdienstleister wie Symantec und Zscaler entdeckten die Backdoor Mistic (MTLBackdoor). Sie ist seit April aktiv und wird mit dem Initial Access Broker KongTuke in Verbindung gebracht. Die Angriffe konzentrieren sich auf Versicherungen, IT-Dienstleister und den Bildungssektor.
Auch mobile Geräte sind betroffen. Der Banking-Trojaner Anatsa versteckte sich in einer vermeintlich harmlosen Dokumenten-Reader-App im Google Play Store. Die App wurde über 100.000 Mal heruntergeladen. Erst nach der Installation lud sie per Update den eigentlichen Schadcode nach, um Zugangsdaten für Finanzdienstleistungen zu stehlen.
Erfolg gegen Cybercrime-Infrastruktur
Der Banking-Trojaner Anatsa beweist, wie leicht schädliche Apps den Weg auf mobile Geräte finden. Ein gratis PDF-Ratgeber zeigt 5 einfache Schritte, die jeder sofort umsetzen kann, um sein Android-Smartphone abzusichern. 5 Schutzmaßnahmen für Android-Smartphones jetzt entdecken
Während neue Bedrohungen auftauchen, gelang den Behörden ein bedeutender Schlag. Im Rahmen der „Operation Endgame“ nahmen das Bundeskriminalamt, Europol und Microsoft die Infrastruktur hinter den Schadprogrammen SocGholish, StealC und Amadey vom Netz.
Weltweit wurden über 300 Server und mehr als 140 Domains unschädlich gemacht. Allein in Deutschland schalteten die Ermittler 40 Kontrollserver ab. Dabei sicherten sie rund 27 Millionen Zugangsdaten von etwa 385.000 Betroffenen. Zudem spürten sie Kryptowährungen im Wert von 47 Millionen US-Dollar auf.
Allein in der ersten Maiwoche verzeichneten Amadey und StealC rund 140.000 Infektionen. Deutschland war nach den USA am zweitstärksten betroffen. Für die Abschaltungen nutzten die US-Behörden erstmals das RICO-Gesetz gegen Cybercrime-Tools.
