Thought Leadership
Der Bericht „Nation-Aligned APTs in 2025“ von TrendAI, dem Cybersecurity-Bereich von Trend Micro, zeichnet ein deutlich verschärftes Bild der globalen Bedrohungslage.
Demnach hat sich der Cyberraum im vergangenen Jahr noch stärker zu einem direkten Bestandteil geopolitischer Konflikte entwickelt. Besonders der Krieg in der Ukraine dient laut den Forschern zunehmend als Ausgangspunkt für digitale Angriffe mit Auswirkungen weit über die Landesgrenzen hinaus.
Angriffe auf Energieversorgung in NATO-Staaten
Ein besonders bemerkenswerter Vorfall ereignete sich Ende Dezember 2025 in Polen. Nach Angaben von TrendAI richteten russlandnahe Akteure koordinierte Cyberangriffe gegen mehrere Wind- und Solarparks, ein Heizkraftwerk sowie weitere Einrichtungen der Energieversorgung. Dabei kamen sogenannte Wiper-Schadprogramme zum Einsatz, deren Ziel die Zerstörung von Systemdaten und die Lahmlegung von IT-Infrastrukturen ist.
Zwar konnte die Attacke rechtzeitig eingedämmt werden, sodass die Stromversorgung nicht beeinträchtigt wurde. Dennoch sehen die Analysten darin einen Wendepunkt: Erstmals standen nicht nur ukrainische, sondern auch Energieanlagen eines NATO-Mitgliedsstaates im Fokus solcher Operationen.
Ukraine bleibt zentrales Ziel digitaler Sabotage
Die Untersuchung zeigt, dass die Ukraine weiterhin als Testfeld für moderne Cyberangriffe dient. Mehrere russlandnahe Gruppen sollen gezielt kritische Infrastruktur, Logistikunternehmen und industrielle Einrichtungen angegriffen haben.
Besonders die Hackergruppe Sandworm wird mit Angriffen auf Eisenbahnunternehmen, Energieversorger und Hersteller von Getreideanlagen in Verbindung gebracht. Ziel dieser Operationen sei nicht allein die Informationsbeschaffung gewesen, sondern die gezielte Störung wirtschaftlicher Abläufe und militärischer Versorgungsketten.
Gleichzeitig richteten sich Kampagnen der Gruppe Pawn Storm (APT28) gegen westliche Technologie- und Logistikunternehmen, die die Ukraine unterstützen. Die öffentliche Zuordnung solcher Angriffe durch Behörden in den USA und Frankreich gilt als ungewöhnlich deutliche diplomatische Reaktion.
Künstliche Intelligenz hält Einzug in Schadsoftware
Eine neue Entwicklung sehen die Sicherheitsexperten im Einsatz künstlicher Intelligenz innerhalb von Malware. Erstmals wurde laut Bericht Schadsoftware beobachtet, die große Sprachmodelle nutzt, um Befehle dynamisch zu erzeugen und ihr Verhalten flexibel an Sicherheitsmaßnahmen anzupassen.
Diese Technik könnte Angreifern künftig ermöglichen, Abwehrmechanismen schneller zu umgehen und Angriffe in Echtzeit anzupassen. Nach Einschätzung von TrendAI markiert dies den Beginn einer neuen Generation intelligenter Schadprogramme.
Russland und Nordkorea intensivieren Zusammenarbeit
Der Report beleuchtet zudem die wachsende Kooperation zwischen Russland und Nordkorea im Cyberbereich. Ein Verteidigungsabkommen aus dem Jahr 2025 soll Nordkorea Zugang zu leistungsfähigen Rechenressourcen verschafft haben. Diese würden unter anderem für KI-gestützte Cyberkriminalität, Kryptowährungsdiebstahl und Social-Engineering-Angriffe genutzt.
Gleichzeitig zeigen die Untersuchungen, dass selbst Verbündete einander ausspionieren. So soll die nordkoreanische Gruppe KONNI russische Regierungsstellen ins Visier genommen haben, darunter auch das Außenministerium.
Cyberangriffe werden Teil militärischer Operationen
Ein zentrales Ergebnis des Berichts ist die zunehmende Verzahnung von Cyberoperationen und klassischen militärischen Aktionen. Digitale Angriffe auf Energie-, Verkehrs- und Kommunikationsnetze erfolgen demnach immer häufiger parallel zu militärischen Offensiven oder politischen Verhandlungen.
Dadurch verschwimmen die Grenzen zwischen physischem und digitalem Schlachtfeld zunehmend. Cyberangriffe werden nicht mehr als ergänzende Maßnahme betrachtet, sondern als fester Bestandteil moderner Kriegsführung.
Internationale Gegenmaßnahmen nehmen zu
Als Reaktion auf die wachsende Bedrohung haben zahlreiche Staaten ihre Zusammenarbeit im Bereich Cybersicherheit verstärkt. NATO-Mitglieder intensivierten den Austausch über Cyberabwehr, die Europäische Union verhängte Sanktionen gegen beteiligte Personen und Organisationen, und auch die G7-Staaten forderten ein gemeinsames Vorgehen gegen staatlich unterstützte Cyberangriffe.
Obwohl diese Maßnahmen den politischen Druck erhöhen, sehen Experten darin bislang keinen ausreichenden Schutz vor laufenden Angriffskampagnen.
TrendAI empfiehlt insbesondere Betreibern kritischer Infrastrukturen, ihre Sicherheitsstrategien an die veränderte Bedrohungslage anzupassen. Unternehmen aus den Bereichen Energie, Logistik, Transport und Fertigung sollten staatlich gesteuerte Angriffsszenarien in ihre Notfallplanung integrieren.
Zu den wichtigsten Schutzmaßnahmen zählen eine konsequente Netzwerksegmentierung, regelmäßige Notfallübungen sowie die enge Zusammenarbeit mit Behörden und Branchenpartnern. Angesichts der zunehmenden Verknüpfung von Cyberangriffen und geopolitischen Konflikten wird Cybersicherheit damit immer stärker zu einem strategischen Thema für Unternehmen und öffentliche Einrichtungen.
(red/TrendAI)
