Thought Leadership
Eine aktuelle Untersuchung des IT-Sicherheitsunternehmens Trend Micro beleuchtet die Aktivitäten der China-nahen Hackergruppe Salt Typhoon, auch bekannt unter dem Namen Earth Estries.
Die Gruppe steht seit Jahren im Verdacht, gezielte Cyberangriffe auf Regierungsstellen und Telekommunikationsunternehmen durchzuführen. Bereits im Mai hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor aktiven Kampagnen der Gruppe gewarnt.
Ein neues Modell digitaler Zusammenarbeit
Die Analyse von Trend Micro zeigt, dass Salt Typhoon ihre Angriffe zunehmend in einem neuen, strukturierten Kooperationsmodell durchführt. Dabei teilen verschiedene Spionageakteure kompromittierte Zugänge untereinander – ein Vorgehen, das die Forscher als „Premier Pass-as-a-Service“ bezeichnen.
Anstatt isoliert zu agieren, arbeiten Gruppen wie Salt Typhoon und Earth Naga eng zusammen. Ein Team verschafft sich den Erstzugriff auf Systeme, ein anderes übernimmt anschließend die Auswertung oder nutzt denselben Zugang für eigene Operationen. Dieses arbeitsteilige Vorgehen steigert nicht nur die Effizienz der Angriffe, sondern erschwert auch die eindeutige Zuordnung einzelner Aktionen zu bestimmten Gruppen.
Beispiele koordinierter Operationen
Trend Micro beschreibt mehrere dokumentierte Fälle, in denen diese Form der Zusammenarbeit nachgewiesen wurde. So übergab Salt Typhoon Ende 2024 den Zugriff auf eine große Einzelhandelskette in der asiatisch-pazifischen Region an die Gruppe Earth Naga. Ein ähnliches Vorgehen wurde im März 2025 bei einem Angriff auf eine südostasiatische Regierungsbehörde beobachtet.
Für den Zugriff und die langfristige Kontrolle der Systeme kamen dabei bekannte Schadprogramme wie ShadowPad, CrowDoor und Cobalt Strike zum Einsatz. Diese Tools dienen dazu, sich dauerhaft in Netzwerken festzusetzen und Daten über längere Zeiträume unbemerkt abzufangen.
Die beobachtete enge Zusammenarbeit zwischen einzelnen APT-Gruppen (Advanced Persistent Threats) markiert laut Trend Micro einen Paradigmenwechsel. Während Angreifer früher meist unabhängig voneinander agierten, entsteht nun ein vernetztes Ökosystem verschiedener Akteure mit klar verteilten Rollen.
Salt Typhoon agiert in diesem System häufig als sogenannter „Access Broker“, also als Anbieter bereits erbeuteter Zugänge, die anschließend von Partnergruppen genutzt werden. Die Grenzen zwischen einzelnen Gruppierungen verschwimmen, die Spurenführung wird schwieriger, und Sicherheitsbehörden stehen vor der Herausforderung, Angriffe komplexer Netzwerke zuzuordnen.
Auswirkungen auf Sicherheitsstrategien
Für Unternehmen und Behörden bedeutet diese Entwicklung, dass klassische Verteidigungsstrategien nicht mehr ausreichen. Statt einzelne Gruppen oder Kampagnen zu beobachten, müssen Sicherheitsverantwortliche verstärkt das Zusammenspiel ganzer Angreiferökosysteme berücksichtigen.
Das „Premier Pass“-Modell zeigt, dass Cyberangriffe zunehmend wie arbeitsteilige Geschäftsmodelle funktionieren – vergleichbar mit Dienstleistungsstrukturen, in denen spezialisierte Akteure einzelne Teile des Angriffsprozesses übernehmen. Entsprechend müssen auch Abwehrmaßnahmen stärker auf Kooperation, Informationsaustausch und ganzheitliche Bedrohungsanalysen setzen.
Die Untersuchung von Trend Micro verdeutlicht: Die Bedrohung durch staatlich unterstützte Cybergruppen entwickelt sich weiter – weg von isolierten Angriffen hin zu koordinierten, schwer nachvollziehbaren Netzwerken. Für Organisationen weltweit wächst damit die Notwendigkeit, ihre Sicherheitsarchitekturen anzupassen und auf Angreifer zu reagieren, die zunehmend als vernetzte Ökosysteme agieren.
