Fünf Geheimdienste warnen vor massiven Cyberangriffen aus China – mit neuen Methoden.
Die Five-Eyes-Allianz, der die Nachrichtendienste der USA, Großbritanniens, Australiens, Kanadas und Neuseelands angehören, hat diese Woche ein gemeinsames Bulletin mit dem Titel „Safeguarding Our Secrets“ veröffentlicht. Die Warnung ist deutlich: Chinesische Staatshacker geben sich auf Jobportalen wie LinkedIn, Indeed und Upwork als Personalvermittler aus, um an westliche Geheimnisse zu gelangen.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book für Unternehmen herunterladen
Die Masche: Vom Vorstellungsgespräch zur Spionage
Die Täter gehen dabei systematisch vor. Sie schalten gefälschte Stellenanzeigen für Politik- oder Verteidigungsanalysten. Zielgruppe sind westliche Staatsbürger mit Zugang zu sensiblen oder geheimen Informationen – darunter Militärangehörige, Rüstungsmitarbeiter und Forscher.
Der Ablauf ist perfide: Die Angreifer sichten Lebensläufe, laden zu virtuellen Vorstellungsgesprächen ein und fordern Probeberichte an. Erst wenn Vertrauen aufgebaut ist, üben sie Druck aus, um klassifizierte Daten zu erpressen. Die Bezahlung läuft über Plattformen wie PayPal, Wise oder Kryptowährungen.
Alte Server, neue Gefahren
Parallel dazu haben Sicherheitsforscher neue Aktivitäten der chinesischen Spionagegruppe OP-512 entdeckt. Die Gruppe zielt gezielt auf veraltete Microsoft-IIS-Server ab – insbesondere solche, die noch Windows Server 2016 mit dem längst eingestellten .NET Framework 4.0 betreiben.
Die Angreifer nutzen eine maßgeschneiderte Sammlung von Web-Shells, die mit RSA-Signaturen und RC4-Verschlüsselung arbeiten. Besonders alarmierend: Die Hacker hielten sich im Schnitt 75 Tage unentdeckt in den Systemen, bevor sie den eigentlichen Angriff starteten. Zur Rechteausweitung verwenden sie Exploits aus der „Potato“-Familie wie BadPotato und SweetPotato.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Anti-Phishing-Paket für Unternehmen anfordern
Eine weitere Gruppe namens UNC5221 (auch als VerdantBamboo bekannt) kompromittierte Microsoft-365-Umgebungen mit den neuen Schadsoftware-Familien Plenet und AgentPSD. In einigen Fällen blieben die Angreifer 18 Monate lang unentdeckt.
Europa im Visier: Neue Malware-Welle rollt
Die chinesischsprachige Gruppe TA4922, die auch als Silver Fox und Void Arachne bekannt ist, hat ihre Aktivitäten nun auf Europa ausgeweitet. Betroffen sind Ziele in Deutschland, Italien und Großbritannien.
Die Schadsoftware namens Atlas RAT (Remote Access Trojan) wird über Phishing-Nachrichten auf Microsoft Teams, WhatsApp und LINE verbreitet. Einmal installiert, gibt sie den Angreifern weitreichende Kontrolle: Sie zeichnet Tastatureingaben auf, aktiviert Mikrofon und Webcam und erstellt Screenshots. Zwar scheint die Gruppe finanziell motiviert, doch ihre Methoden ähneln denen klassischer Spionage – inklusive DLL-Sideloading und Anti-Sandbox-Techniken.
IBM-Skandal: 56.000 verdeckte Einbrüche?
Ein spektakulärer Rechtsfall sorgt zusätzlich für Aufsehen. Der frühere IBM-Manager William Barlow verklagt seinen ehemaligen Arbeitgeber nach dem False Claims Act. Die Anschuldigung wiegt schwer: IBM soll zwischen 2013 und 2016 mehr als 56.000 Einbrüche der chinesischen Gruppe APT10 verschwiegen haben.
Laut Klage habe IBM die Vorfälle heruntergespielt – trotz Warnungen der Five-Eyes-Allianz Anfang 2017. IBM weist die Vorwürfe zurück.
CISA schlägt zu: Kritische Sicherheitslücke muss bis 19. Juni geschlossen werden
Die US-Cybersicherheitsbehörde CISA hat ihren Katalog bekannter Sicherheitslücken aktualisiert. Neu aufgenommen wurde eine kritische Schwachstelle in SolarWinds Serv-U (CVE-2026-28318). Angreifer können damit Dienste durch manipulierte Anfragen lahmlegen – ohne Authentifizierung. US-Behörden müssen den Patch bis zum 19. Juni 2026 einspielen.
Der „Miasma“-Wurm: 73 Repos in 105 Sekunden
Ein weiterer Vorfall zeigt, wie schnell moderne Bedrohungen eskalieren können. Der npm-Wurm Miasma erreichte am 5. Juni Microsofts GitHub-Umgebung und deaktivierte innerhalb von 105 Sekunden 73 Repositories in verschiedenen Azure- und Microsoft-Abteilungen. Der Angriff nutzt gestohlene Entwickler-Tokens und kompromittierte Contributor-Konten, um Cloud-Zugangsdaten zu stehlen und sich automatisch zu verbreiten. Erst Anfang des Monats waren ähnliche Angriffe gegen Red Hat erfolgreich.
