Thought Leadership
Die Cybergruppierung Shinyhunters ist für massive Datenlecks bei Weltkonzernen verantwortlich. Eine Analyse von Historie, Methoden und Strafverfolgung.
Die Landschaft der organisierten Cyberkriminalität wird seit dem Jahr 2020 maßgeblich durch eine Akteursgruppe geprägt, die unter dem Namen Shinyhunters operiert. Der Name, der mutmaßlich aus der Gaming-Kultur entlehnt ist, tauchte erstmals im Mai 2020 in einschlägigen Untergrundforen auf. Im Gegensatz zu klassischen Ransomware-Gruppierungen, deren primäres Geschäftsmodell in der Verschlüsselung von operativen IT-Systemen und der anschließenden Erpressung von Lösegeld für die Entschlüsselung besteht, konzentrieren sich die Shinyhunters fast ausschließlich auf den Diebstahl und den anschließenden Verkauf von sensiblen Datenbeständen.
Das strategische Vorgehen der Gruppe basiert auf der systematischen Exfiltration von Datenbanken großer Unternehmen, die daraufhin entweder direkt an Konkurrenten oder meistbietend auf kriminellen Handelsplattformen veräußert werden. Zahlt das betroffene Unternehmen kein Schweigegeld, um die Veröffentlichung zu verhindern, werden die Datensätze zur Abschreckung und zur Steigerung der eigenen Reputation im Darknet kostenfrei publik gemacht. Durch diese duale Erpressungsstrategie hat sich die Gruppe zu einer der aktivsten Bedrohungen für die Datensicherheit von Konzernen weltweit entwickelt.
Die historischen Ursprünge von ShinyHunters und frühe Angriffsdaten
Der technologische Einbruch der Shinyhunters in das öffentliche Bewusstsein erfolgte durch eine Serie koordinierter Angriffe im Frühjahr und Sommer 2020. Das erste dokumentierte Großereignis betraf das indonesische E-Commerce-Unternehmen Tokopedia. Im Mai 2020 extrahierte die Gruppe eine Datenbank mit den persönlichen Informationen von rund 91 Millionen Nutzern und bot diese für circa 5000 US-Dollar im Untergrund an. Kurz darauf folgte die Kompromittierung der Social-Reading-Plattform Wattpad, bei der über 270 Millionen Datensätze entwendet wurden.
Ein weiterer strategischer Vorfall in der Frühphase betraf den Technologiekonzern Microsoft. Den Angreifern gelang es, Zugriff auf private Repositories des Unternehmens auf der Entwicklungsplattform GitHub zu erlangen. Dabei wurden rund 500 Gigabyte an Quellcode exfiltriert. Obwohl Microsoft damals bestätigte, dass keine Kundendaten betroffen waren und der entwendete Code keine Sicherheitsrisiken darstellte, demonstrierte der Vorfall die Fähigkeit der Gruppe, in die geschützten Entwicklungsumgebungen hochgradig gesicherter Technologieunternehmen einzudringen.
Die organisatorische Struktur und der Betrieb von Untergrundforen
Die Aktivitäten der Shinyhunters beschränken sich nicht nur auf die Durchführung von Hacking-Angriffen. Die Gruppe hat sich im Laufe der Jahre zu einem infrastrukturellen Akteur innerhalb der Cyberkriminalität entwickelt. Nach der wiederholten Beschlagnahmung des bekannten Untergrundforums RaidForums durch internationale Strafverfolgungsbehörden verlagerte sich der Handel mit gestohlenen Daten weitgehend auf die Nachfolgeplattform BreachForums.
Als der ursprüngliche Administrator von BreachForums im Jahr 2023 von US-Behörden verhaftet wurde, übernahmen die Shinyhunters gemeinsam mit einem weiteren Akteur die Kontrolle über die Plattform. Sie bauten die Infrastruktur unter einer neuen Domain wieder auf und fungierten fortan als Administratoren und Moderatoren des Forums. Damit sicherten sie nicht nur ihren eigenen Marktplatz für exfiltrierte Daten, sondern kontrollierten auch die zentrale Drehscheibe für den globalen Handel mit kompromittierten Identitäten und Unternehmensdaten. Dieser Schritt zeigt den Wandel von einer reinen Angreifergruppe zu einem Betreiber krimineller Plattform-Infrastrukturen.
Die technischen Infiltrationsmethoden und Angriffsvektoren
Die Analyse von IT-Forensik-Berichten verschiedener Sicherheitsunternehmen zeigt ein klares Muster bei den Angriffsvektoren der Shinyhunters. Die Gruppe fokussiert sich primär auf die Ausnutzung von Fehlkonfigurationen in Cloud-Infrastrukturen und das Abfangen von Zugangsdaten. Sie suchen gezielt nach ungesicherten Repositories auf Plattformen wie GitHub, in denen Entwickler versehentlich Zugangsdaten wie API-Keys oder Passwörter für Cloud-Speicher wie Amazon Web Services oder Microsoft Azure hinterlegt haben.
Ein signifikantes Praxisbeispiel für die Evolution ihrer Methoden zeigte sich im Jahr 2024 im Zusammenhang mit der Kompromittierung von Cloud-Datenbanken des Anbieters Snowflake. Die Shinyhunters nutzten im Vorfeld durch Infostealer-Schadsoftware entwendete Zugangsdaten von legitimen Unternehmensmitarbeitern. Da die betroffenen Unternehmenskonten nicht durch eine Mehrfaktor-Authentifizierung geschützt waren, konnten sich die Angreifer authentifizieren und hunderte Millionen Datensätze unbemerkt absaugen. Betroffen von dieser spezifischen Kampagne waren unter anderem der Ticketdienstleister Ticketmaster mit 560 Millionen Kundendaten sowie die Großbank Santander.
Chronologische Übersicht bedeutender Sicherheitsvorfälle
Die folgende Tabelle dokumentiert ausgewählte, verifizierte Sicherheitsvorfälle, die der Gruppierung Shinyhunters durch IT-Sicherheitsanalysen und behördliche Ermittlungen eindeutig zugeordnet werden konnten:
| Jahr | Zielunternehmen | Umfang und operative Auswirkungen des Vorfalls |
| 2020 | Tokopedia | Exfiltration von 91 Millionen Nutzerkonten inklusive Passworthashes |
| 2020 | Wattpad | Diebstahl von 270 Millionen Kundendaten und Verkauf im Darknet |
| 2020 | Microsoft | Unbefugter Zugriff auf GitHub-Infrastruktur und Diebstahl von Quellcode |
| 2021 | Pixlr | Kompromittierung einer Datenbank mit 83 Millionen Benutzerdatensätzen |
| 2024 | Santander Bank | Zugriff auf Daten von globalen Kunden und allen Mitarbeitern |
| 2024 | Ticketmaster | Exfiltration von 560 Millionen Kundendaten und anschließende Erpressung |
Internationale Ermittlungen und justizielle Konsequenzen
Aufgrund des immensen wirtschaftlichen Schadens gerieten die Shinyhunters früh in den Fokus internationaler Strafverfolgungsbehörden, koordiniert durch das Federal Bureau of Investigation und europäische Justizorgane. Ein bedeutender Ermittlungserfolg gelang im Mai 2022 mit der Festnahme des französischen Staatsbürgers Sébastien Raoult in Marokko. Dem damals 23-jährigen Informatikstudenten wurde vorgeworfen, unter einem Pseudonym ein aktives Mitglied der Shinyhunters-Kernzelle zu sein.
Nach einem langwierigen Auslieferungsverfahren wurde Raoult im Jahr 2023 an die Vereinigten Staaten übergeben. Im Januar 2024 wurde er von einem Bundesgericht in Seattle nach einem umfassenden Geständnis wegen Verschwörung zum Computerbetrug und schwerem Identitätsdiebstahl zu einer Haftstrafe von drei Jahren verurteilt. Zudem wurde er zur Zahlung von über fünf Millionen US-Dollar Schadenersatz verpflichtet. Die Gerichtsakten offenbarten, dass die Gruppe systematisch hunderte Unternehmen attackiert hatte. Trotz dieser Verurteilung blieb die Gruppierung als Kollektiv weiterhin handlungsfähig, da die administrative Führung dezentral organisiert ist und aus verschiedenen geografischen Regionen agiert.
ShinyHunters greifen große Unternehmen und Behörden an
In den Jahren von 2023 bis 2026 vollzog sich eine deutliche Weiterentwicklung der taktischen Operationen von Shinyhunters hin zu komplexen Lieferketten-Angriffen und der strategischen Kompromittierung vernetzter Software-as-a-Service-Umgebungen. Ein zentraler Höhepunkt dieser Entwicklung war die großflächige Kampagne gegen Cloud-Datenbanken des Anbieters Snowflake Mitte 2024, bei der die Gruppe über im Vorfeld entwendete Mitarbeiter-Zugangsdaten die Datenbestände von rund 165 Kundenorganisationen absaugte, darunter Ticketmaster und die Großbank Santander. Im Jahr 2025 verlagerte sich der Fokus zunehmend auf das gezielte Abfangen von Daten aus CRM- und Analyse-Plattformen. Durch koordinierte Social-Engineering- und Smishing-Kampagnen attackierte die Gruppierung gezielt Infrastrukturen von Salesforce-Kunden sowie Drittanbieter-Analysewerkzeuge wie Mixpanel, was weitreichende Datenexfiltrationen bei den jeweiligen Vertragspartnern nach sich zog.
Das Jahr 2026 markiert eine Phase hochgradig aggressiver Erpressungskampagnen, bei denen Shinyhunters verstärkt auf zentrale Identitätsinfrastrukturen sowie Softwarelösungen im Bildungs- und Behördensektor abzielen. Im Januar 2026 initiierte die Gruppe eine Welle von Voice-Phishing-Angriffen auf Single-Sign-On-Umgebungen wie Okta, um über das Erschleichen von Mitarbeiter-Anmeldedaten administrative Zugriffsrechte auf nachgelagerte Unternehmensanwendungen zu erlangen. Im April und Mai 2026 folgte ein schwerwiegender Einbruch in das Lernmanagementsystem Canvas des Anbieters Instructure, der Daten von bis zu 9000 Bildungseinrichtungen weltweit gefährdete und den Betreiber schließlich zur Zahlung einer Lösegeldforderung zwang. Unmittelbar darauf, im Juni 2026, weitete die Gruppe ihre Angriffe auf Schwachstellen in der Oracle PeopleSoft-Softwaresuite aus und kompromittierte zudem das Netzwerk des Europarates, wobei knapp 300 Gigabyte an sensiblen internen Personal- und Gehaltsdaten exfiltriert wurden.
Aktuelle Bedrohungslage und defensive Härtungsmaßnahmen
Die Aktivitäten der Shinyhunters demonstrieren im langfristigen Vergleich, dass der Schutz von Cloud-Infrastrukturen die zentrale Schwachstelle moderner Unternehmens-IT darstellt. Da die Gruppe primär mit legitimen, aber entwendeten Zugangsdaten arbeitet, versagen traditionelle perimeterbasierte Sicherheitskonzepte wie Firewalls vollständig.
Zur wirksamen Abwehr dieser Bedrohungslage müssen IT-Sicherheitsverantwortliche strenge Zero-Trust-Architekturen implementieren. Zu den obligatorischen Maßnahmen gehören die flächendeckende Durchsetzung von phishing-resistenten Mehrfaktor-Authentifizierungen für alle Cloud-Zugänge, das kontinuierliche Scannen von öffentlichen Repositories nach versehentlich veröffentlichten Geheimnissen sowie die Implementierung von Cloud Security Posture Management Systemen zur sofortigen Erkennung anomaler Datenabflüsse. Nur durch eine lückenlose Überwachung aller Identitäten und Zugriffsrechte lässt sich das Risiko einer erfolgreichen Datenexfiltration durch Akteure wie die Shinyhunters wirksam minimieren.
(red)
