Thought Leadership
Staatliche Spionage und organisierte Cyberkriminalität gehen zunehmend Hand in Hand. Zwei Hackergruppen zeigen, wie schwer es geworden ist, Täter klar zuzuordnen – und wie ausgeklügelt ihre Methoden sind.
Bedrohung im Zwillingspack
Die Grenzen zwischen Cyberkriminalität und Cyberspionage verschwimmen rasant – ein Trend, den der aktuelle Threat Blog des Sicherheitsunternehmens Proofpoint beleuchtet. Im Fokus: Zwei Gruppen, die mit hochentwickelten Angriffskampagnen weltweit Unternehmen ins Visier nehmen – TA829 und eine neu aufgetauchte Gruppierung namens UNK_GreenSec.
Beide agieren an einer gefährlichen Schnittstelle: Während TA829 sowohl finanziell motivierte Angriffe als auch gezielte Spionageaktionen im russischen Interesse durchführt, legt UNK_GreenSec mit massenhaften E-Mail-Kampagnen und neuer Schadsoftware nach.
Professionelle Täuschung und digitale Tarnung
TA829 setzt seit Jahren auf ein Arsenal maßgeschneiderter Schadprogramme – allen voran die berüchtigte RomCom-Backdoor-Familie, die stetig weiterentwickelt wird. Die Angriffe zeichnen sich durch hohe Automatisierung aus: Gefälschte Bewerbungen oder Beschwerden dienen als Köder, um Empfänger auf scheinbar legitime Cloud-Dienste zu locken. Wer klickt, aktiviert eine präzise getarnte Infektionskette.
Dazu kommen komplexe Versandstrukturen, unter anderem über kompromittierte MikroTik-Router als REM-Proxys und Umleitungen über OneDrive oder Google Drive. Unterstützt wird TA829 dabei auch durch kriminelle Drittanbieter für Domainregistrierung und Verschleierung.
Neue Gruppe, neues Werkzeug: TransferLoader
Anfang 2025 trat UNK_GreenSec auf den Plan – just als TA829 eine Pause einlegte. Die Gruppe nutzt mit dem TransferLoader ein komplett neues Schadprogramm und verschickt ebenfalls groß angelegte Phishing-Mails, bevorzugt im Gewand von Jobbewerbungen. Ihre Angriffe sind geografisch breiter gestreut und technisch eigenständig, obwohl Überschneidungen bei Infrastruktur und Tarnmechanismen bestehen – etwa bei der Nutzung von Cloudflare-Bypass-Techniken.
UNK_GreenSec scheint stärker finanziell orientiert zu sein: Anders als TA829, das auf klassische Spionage-Backdoors wie SingleCamper und DustyHammock setzt, bringt TransferLoader zunehmend Ransomware wie Morpheus zum Einsatz.
Wer steckt dahinter – und warum?
Ob UNK_GreenSec und TA829 zusammenarbeiten, dieselben Dienstleister nutzen oder vielleicht sogar identisch sind, ist derzeit unklar. Klar ist jedoch: Die Verwischung zwischen Cybercrime und staatlicher Cyberspionage erschwert die Aufklärung massiv.
Die Proofpoint-Analyse macht deutlich, wie schwer eine klare Täterzuordnung mittlerweile geworden ist. In einer Welt, in der Hackergruppen gleichzeitig Staaten dienen und Lösegeld fordern, braucht es mehr denn je eine koordinierte Abwehrstrategie – zwischen Unternehmen, Sicherheitsbehörden und IT-Experten.
Weitere Informationen:
Die vollständige Analyse der Proofpoint-Experten finden Sie im neuesten Threat Blog des Cybersecurity-Unternehmens im englischen Original.
(vp/Proofpoint)
