So setzen Russland, China, Iran und Nordkorea Cyberkriminalität als Waffe ein
Googles Threat Intelligence Group warnt vor der zunehmenden Verzahnung von Cyberkriminalität und staatlich gelenkten Angriffen. Besonders Russland, China, Iran und Nordkorea nutzen Cybercrime-Strukturen zur Spionage, Sabotage und Finanzierung. Ein umfassender internationaler Ansatz ist dringend erforderlich.

Die Aktivitäten staatlich unterstützter Hackergruppen nehmen zu, wobei sich Cyberkriminalität immer stärker mit Spionage- und Sabotageoperationen vermischt. Dies zeigt eine aktuelle Untersuchung von Googles Threat Intelligence Group zusammen mit Mandiant, das Teil von Google Cloud ist. Insbesondere vier Länder stehen im Fokus des Reports: Russland, China, Iran und Nordkorea nutzen Cyberangriffe gezielt, um wirtschaftliche und geopolitische Vorteile zu erzielen. Google warnt vor den weitreichenden Folgen für nationale und internationale Sicherheit.
Hybride Kriegsführung gegen die Ukraine
Russland setzt Cyberkriminalität gezielt als hybride Kriegsführung im Ukrainekrieg ein. Besonders der Militärgeheimdienst GRU nutzt laut Google sogenannte "Low-Equity"-Malware – Software, die ursprünglich in Cybercrime-Foren verkauft wurde –, um gezielt westliche Infrastrukturen und ukrainische Einrichtungen anzugreifen. Die Gruppe APT44, auch bekannt als Sandworm, hat mehrfach disruptive Operationen durchgeführt, darunter Angriffe auf das ukrainische Stromnetz. Ebenfalls auffällig ist laut Report der verstärkte Einsatz von Cyberkriminellen für militärische Zwecke: Laut Google wurden Gruppen, die früher Ransomware verbreiteten, mittlerweile von russischen Geheimdiensten für gezielte Spionageangriffe rekrutiert. Die berüchtigte Hackergruppe Cigar, bekannt für ihre RomCom-Malware, soll seit 2022 gezielt ukrainische Regierungsstellen ins Visier nehmen.
China verwischt Spuren
China verfolgt einen anderen Ansatz: Während russische Akteure Chaos stiften sollen, sieht Chinas Cyberstrategie den Diebstahl geistigen Eigentums und die Langzeitüberwachung kritischer Branchen vor. Google-Analysten berichten, dass das chinesische Hacker-Kollektiv UNC2286 über Angriffe auf westliche Unternehmen sowohl wirtschaftliche Informationen stiehlt als auch gezielt mit Ransomware arbeitet, um finanzielle Mittel zu generieren. Besonders auffällig ist dabei die Strategie, Spionage über legitime Geschäftsstrukturen zu tarnen: Chinesische Gruppen nutzen laut Google kompromittierte IT-Dienstleister als Sprungbrett, um sich unbemerkt in internationale Netzwerke einzuschleusen. Zudem würden sie auf den Kauf von Schadsoftware auf kriminellen Marktplätzen setzen, um Spuren zu verwischen.
Iran mit doppelter Strategie
Iranische Spionagegruppen setzen verstärkt auf Ransomware-Operationen und disruptive Hack-and-Leak-Aktionen. Die Gruppe UNC757 kooperiert mit Ransomware-Partnern wie NoEscape und ALPHV, um Netzwerkzugriffe zu erlangen und Ransomware zu installieren. Gleichzeitig stiehlt die Gruppe Daten zur Unterstützung der iranischen Regierung. Google hat beobachtet, dass iranische Gruppen zunehmend auf Cyber-Erpressung setzen, wobei vor allem Forschungseinrichtungen und Regierungsorganisationen im Visier stehen. Auch Hackergruppen, die mit den iranischen Revolutionsgarden in Verbindung gebracht werden, haben sich in den letzten Jahren weiter professionalisiert. Ihr Ziel: die Cyberzerstörung westlicher Unternehmen, während parallel Einnahmen generiert werden – eine doppelte Strategie zur Schädigung von Gegnern.
Nordkorea stiehlt Kryptowährungen
Nordkorea unterscheidet sich von anderen staatlich unterstützten Gruppen durch seinen Fokus auf Cyberkriminalität als Finanzierungsquelle. Seit Jahren nutzt das Land Hackergruppen, um Kryptowährungen zu stehlen und das unter Sanktionen stehende Regime zu unterstützen. Laut der Google-Analyse haben nordkoreanische Hacker eine Schlüsselrolle bei grossen Krypto-Diebstählen gespielt, darunter ein massiver Angriff auf eine japanische Handelsplattform im Dezember 2024, bei dem über 300 Millionen US-Dollar entwendet wurden. Abgesehen von direkten finanziellen Angriffen infiltriert Nordkorea auch IT-Firmen im Ausland. Hier treten nordkoreanische Fachkräfte unter falscher Identität als talentierte IT-Mitarbeiter auf, erhalten Anstellungen in westlichen Firmen und missbrauchen ihre Zugriffsrechte, um Gelder zu veruntreuen oder Spionage zu betreiben. Diese Strategie hat sich für das Regime als äusserst effektiv erwiesen.
Internationale Reaktion gefordert
Google Threat Intelligence betont die Notwendigkeit einer umfassenden Reaktion. Die resiliente Struktur des Cybercrime-Ökosystems macht es besonders widerstandsfähig gegen einzelne Zerschlagungsaktionen. Finanziell motivierte Akteure spezialisieren sich oft auf einzelne Aspekte der Cyberkriminalität und arbeiten regelmässig mit anderen zusammen. Erforderlich sind systemische Lösungen wie die verstärkte internationale Zusammenarbeit bei der Strafverfolgung, die Störung krimineller Infrastrukturen und eine Stärkung der Cybersicherheitsverteidigung. Besonders wichtig sei die Entwicklung internationaler Rahmenwerke für Informationsaustausch und koordinierte Aktionen gegen Cyberkriminelle. Die Analysten empfehlen zudem, Cyberkriminalität als nationale Sicherheitspriorität einzustufen und Ressourcen entsprechend zuzuweisen. Dies umfasst eine verstärkte nachrichtendienstliche Aufklärung über kriminelle Organisationen und den Ausbau der Strafverfolgungskapazitäten.
Lesen Sie hier, was der KI-Gipfel in Paris gebracht hat.

Sony entwickelt Display-System mit individuell steuerbaren RGB-LEDs

Check Point befördert Schweiz-Chef zum Director Globals EMEA und Asia

Update: Bundesrat eröffnet Vernehmlassung zum Breitbandausbau

Beekeeper sammelt 35 Millionen US-Dollar ein

ZHAW-Spin-off Rwai bekommt Kapital zum Ausbau seiner KI-Plattform

Governance in der Datenökonomie – die Basis für digitales Vertrauen

Wie alte Ehepaare Gespräche am Laufen halten

BenQ lanciert Studio-Monitore für kreative Apple-User

Update: Parlament befürwortet nationalen Adressdienst
