Neben psychologischer Kriegsführung über WhatsApp veröffentlichten die Angreifer persönliche Daten von tausenden Marines.
Psychoterror per WhatsApp: Drohungen und Datenklau
Am 27. April 2026 erhielten US-Soldaten in Bahrain erste Drohnachrichten über den Messengerdienst WhatsApp. Die Absender behaupteten, die Empfänger stünden unter permanenter Überwachung – und drohten mit Drohnen- und Raketenangriffen. Zwei Tage später eskalierte die Gruppe: Auf einem Telegram-Kanal veröffentlichte Handala die persönlichen Daten von 2.379 US-Marines, darunter Namen und weitere sensible Identifikationsmerkmale.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Strategien für Unternehmer jetzt gratis sichern
Die Täter prahlten damit, dass dies nur ein Bruchteil ihrer Datenbestände sei. Sie behaupten, Zugriff auf Informationen von Zehntausenden weiteren Militärangehörigen zu haben. Das Pentagon hat mittlerweile Ermittlungen eingeleitet.
Sicherheitsexperten sehen in der WhatsApp-Strategie einen gefährlichen Trend: Staatlich gesteuerte Akteure umgehen damit die Sicherheitsvorkehrungen offizieller Militärkommunikation und erreichen die Soldaten direkt auf ihren privaten Geräten.
Die Handala-Gruppe: Irans digitale Speerspitze
Die Hackergruppe ist seit mindestens 2008 aktiv, hat aber in den letzten Jahren deutlich an Schlagkraft gewonnen. Erst im März 2026 stufte die US-Regierung Handala offiziell als Teil des iranischen Geheimdienstministeriums (MOIS) ein. Hintergrund war ein verheerender Angriff auf das Stryker-Verteidigungssystem, bei dem rund 200.000 Systeme gelöscht wurden.
Die Gruppe hat bereits mehrfach hochkarätige Ziele attackiert. So knackte sie das private Gmail-Konto von FBI-Direktor Kash Patel – die US-Behörden setzten daraufhin eine Kopfgeld von zehn Millionen Euro auf die Täter aus.
Ihre Methodik kombiniert Datendiebstahl mit zerstörerischer Malware. In früheren Kampagnen arbeitete Handala mit kriminellen Gruppen wie TeamPCP und BreachForums zusammen, um gestohlene Daten zu verkaufen oder Löschsoftware einzusetzen.
Parallelbedrohungen: Wenn Patches nicht reichen
Während Handala auf militärische Ziele fokussiert, nutzen andere Gruppen Schwachstellen in weit verbreiteter Unternehmenssoftware aus. Im Februar 2026 schloss Microsoft eine Sicherheitslücke (CVE-2026-21510), die von der russischen Gruppe APT28 (Fancy Bear) ausgenutzt wurde. Doch Forscher von Akamai entdeckten: Der Patch war unvollständig.
Eine neue Schwachstelle (CVE-2026-32202) im Windows Shell ermöglicht weiterhin den Diebstahl von Net-NTLMv2-Hashes – ein Einfallstor für Identitätsdiebstahl. Die US-Behörde CISA hat die Lücke in ihren Katalog bekannter Schwachstellen aufgenommen und setzt Bundesbehörden eine Frist bis zum 12. Mai 2026, um die Updates einzuspielen.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Anti-Phishing-Paket für Unternehmen kostenlos herunterladen
Parallel dazu mehren sich Angriffe auf die Lieferkette. Ende März 2026 bestätigte die Sicherheitsfirma Checkmarx einen Angriff von TeamPCP und Lapsus$. Die Täter erbeuteten 96 Gigabyte Daten aus einem GitHub-Repository, darunter Quellcode und Mitarbeiterzugänge. Auch Entwickler-Tools wie Bitwarden CLI und SAP npm-Pakete waren betroffen.
KI als Brandbeschleuniger: Die nächste Eskalationsstufe
Die Cyberkriegsführung 2026 wird zunehmend von sogenannten „hybriden Bedrohungen“ geprägt: Staatliche Akteure mischen sich mit krimineller Infrastruktur. Das Ziel ist nicht mehr nur Datendiebstahl, sondern auch psychologische Wirkung und operative Störung.
Besonders besorgniserregend: Australische Finanzaufseher warnten Ende April, dass KI-Modelle wie Anthropics Mythos bald für großangelegte Attacken genutzt werden könnten. Die Sorge: Künstliche Intelligenz könnte personalisierte Phishing-Nachrichten – wie jene an die Marines in Bahrain – automatisiert erstellen und damit massiv schwerer erkennbar machen.
Ein weiterer Warnschuss: Der Datenleck beim Videodienst Vimeo am 29. April 2026. Der Vorfall, bei dem Kunden-E-Mails und Metadaten abflossen, ging auf einen Kompromittierung des Analyse-Dienstleisters Anodot zurück. Die Gruppe ShinyHunters bekannte sich zu der Tat – ein Beleg dafür, dass selbst gut geschützte Unternehmen über ihre Zulieferer verwundbar sind.
Lehren für Unternehmen und Militär
Das US-Militär wird nach den Vorfällen in Bahrain voraussichtlich strengere Regeln für die Nutzung privater Mobilgeräte in Krisenregionen erlassen. Der direkte Angriff auf Soldaten per WhatsApp zeigt: Herkömmliche Perimetersicherheit reicht gegen staatlich gesteuerte Belästigung und Spionage nicht aus.
Für Unternehmen gelten ähnliche Lehren: Schnelles Patch-Management und die rigorose Überprüfung von Drittanbietern sind überlebenswichtig. Mit der CISA-Frist zum 12. Mai und der anhaltenden Bedrohung durch Gruppen wie Handala und APT28 müssen Organisationen den Schutz ihrer Identitätsebene priorisieren – also Zugangsdaten und Authentifizierungstoken, die im Fokus der Angreifer stehen.
Die Kombination aus psychologischer Kriegsführung, zerstörerischer Malware und Lieferketten-Angriffen macht das Frühjahr 2026 zu einer der volatilsten Phasen der Cybersicherheitsgeschichte. Analysten erwarten, dass die Beharrlichkeit von Gruppen wie Handala – gepaart mit KI-gestützten Exploits – ein proaktiveres und integrierteres Vorgehen in der nationalen und unternehmerischen Verteidigung erzwingen wird.
