40 Prozent der Cyberangriffe mit China in Verbindung

Der Bericht enthält eine detaillierte Analyse der Aktivitäten ausgewählter Gruppen. Darüber hinaus zeigt er die neuesten Entwicklungen und Bedrohungstrends auf und untersucht Angriffe staatlich gesponserter Hacker weltweit. Ein Ergebnis: Insbesondere Hackergruppen mit Verbindungen zu China verstärken ihre Aktivitäten.

„Diese Entwicklungen unterstreichen die wachsende Bedrohung durch staatlich geförderte Cyberangriffe für Unternehmen und Organisationen weltweit“, erklärt Jean-Ian Boutin, Director of Threat Research bei ESET. „Besonders besorgniserregend ist die Ausweitung der Angriffsziele auf kritische Infrastrukturen und sensible Bereiche wie Finanzen, Verteidigung und Diplomatie.“

Chinesischer Einfluss wächst

Die Kampagnen China nahestehender Gruppen konzentrieren sich hauptsächlich auf staatliche Organisationen. Allerdings gerät auch der Bildungssektor immer mehr ins Fadenkreuz. Vor allem Forscher und Akademiker auf der koreanischen Halbinsel und in Südostasien werden Opfer. Afrika hat sich in den letzten Jahrzehnten zu einem wichtigen Partner Chinas entwickelt. Die Forscher  beobachten allerdings, wie mit China verbündete Gruppen ihre Angriffe auf diesem Kontinent ausweiteten. Die Gruppe MirrorFace attackierte auch eine diplomatische Organisation in der Europäischen Union.

Im Gegensatz zum ersten Halbjahr 2024 sind Gruppen aus dieser Region nun die Hauptquelle für Cyberangriffe (40 Prozent). Russische Hacker sind im gleichen Zeitraum vom ersten auf den zweiten Platz zurückgefallen (27,6 Prozent).

Russischsprachige Gruppen verstärkt in Ukraine aktiv

Mit Russland in Verbindung stehende Hacker waren weiterhin in der Ukraine am aktivsten. Sie nahmen Regierungsstellen, den Verteidigungssektor und kritische Bereiche wie Energie-, Wasser- und Wärmeversorgung ins Visier. Andere Gruppen zielten häufig auf Webmail-Dienste, um Schwachstellen auszunutzen und Daten abzugreifen.

Die Gruppe Sednit attackierte weltweit Regierungs- und Forschungseinrichtungen, während Gamaredon und Sandworm ihre Angriffe auf die Ukraine fokussierten. Außerdem wurde eine Desinformationskampagne namens Operation Texonto identifiziert, die vor allem darauf abzielt, ukrainische Bevölkerungsteile zu demoralisieren.

Nordkorea auf der Suche nach Geld

Nordkoreanische Hacker setzen weiterhin auf Cyberangriffe, um die Rüstungsprogramme des Landes durch Kryptowährungs- und Währungsdiebstahl zu finanzieren. Europäische und US-amerikanische Unternehmen aus dem Verteidigungs- und Luftfahrtsektor sowie Kryptowährungsentwickler und Nichtregierungsorganisationen waren Hauptziele. Neu war der Missbrauch von Microsoft Management Console-Dateien und die Ausnutzung von Cloud-Diensten wie Google Drive und Microsoft OneDrive.

Iranische Gruppen agieren global

Irannahe Cyberkriminelle haben ihre Aktivitäten ausgeweitet und ihre Fähigkeiten verstärkt für diplomatische Spionage und möglicherweise militärisch-strategische Zwecke eingesetzt. Ziele waren unter anderem Finanzunternehmen in Afrika. Auch diplomatische Vertretungen und Regierungsorganisationen aus dem Irak und Aserbaidschan standen offenbar im Fokus, ebenso wie der israelische Transportsektor. Trotz der geografischen Konzentration bleibt das Interesse der vom Iran unterstützten Gruppen global. So wurden auch diplomatische Vertreter in Frankreich und Bildungsorganisationen in den USA angegriffen.