APT-Report: Staatlich unterstützte Hacker teilen systematisch Netzwerkzugänge

Cyberangriffe erreichen durch neue Arbeitsteilung „Maschinengeschwindigkeit“

Der Report „Nation-Aligned APTs in 2025” analysiert die Aktivitäten staatlich unterstützter Hackergruppen aus China, Russland und Nordkorea im Jahr 2025 und identifiziert vier zentrale Entwicklungen, die das strategische Umfeld für Unternehmen und Behörden grundlegend verändern.

Premier Pass-as-a-Service: Arbeitsteilung unter staatlichen Hackern

TrendAI beobachtet erstmals systematisch ein Modell, bei dem APT-Gruppen Zugänge zu kompromittierten Netzwerken wie einen „Priority Pass” untereinander weitergeben. Eine spezialisierte Gruppe verschafft sich initialen Zugang, andere übernehmen anschliessend Spionage, Datendiebstahl oder Sabotage, ohne den Einbruch selbst durchführen zu müssen. Diese Arbeitsteilung beschleunigt Angriffe erheblich und erschwert die Zuordnung zu einzelnen Akteuren. So wurden etwa die China-verbundenen Gruppen Earth Estries (auch bekannt als Salt Typhoon) und Earth Naga in denselben Netzwerksitzungen aktiv, was ein klarer Hinweis auf koordinierte Zusammenarbeit ist.

KI-gestützte Angriffsketten: Von Hilfswerkzeug zu autonomen Agenten

2025 markiert den ersten praktischen Einsatz grosser Sprachmodelle (LLMs) in aktiver Malware. Die Russland-verbundene Gruppe Pawn Storm (APT28) setzte die Malware LAMEHUG ein, die Befehle dynamisch über LLMs generiert. Weitere Gruppen nutzen KI für automatisierte Aufklärung und Zielerkennung. Angreifer setzen KI nicht länger nur als Unterstützung ein, sondern entwickeln autonome „AI Agents“, die sich in Echtzeit an Verteidigungsmassnahmen anpassen können. TrendAI erwartet, dass die nächsten 24 Monate zu einem „Wettlauf um Resilienz auf Maschinengeschwindigkeit“ werden.

„Staatlich unterstützte Cyberaktivitäten werden zunehmend industrialisiert”, sagt Feike Hacquebord, Principal Threat Researcher bei TrendAI. „Bedrohungsgruppen spezialisieren sich auf einzelne Phasen der Angriffskette und teilen anschliessend den Zugang zu kompromittierten Netzwerken, sodass andere Akteure direkt mit Spionage oder Sabotage beginnen können. Wird dieses Modell zusätzlich mit KI- gestützter Aufklärung und der automatisierten Suche nach Schwachstellen kombiniert, verkürzt sich die Zeit für die Durchführung komplexer Kampagnen drastisch.“

Supply Chain und Edge- Dominanz: Angriffe auf Lieferketten und Randinfrastruktur

Die Ausnutzung von Schwachstellen in Edge-Infrastruktur und Angriffe über Entwickler-Ökosysteme (z. B. gefälschte Job- Angebote der nordkoreanischen Gruppe Void Dokkaebi) hat sich zur bevorzugten Route für langfristige, schwer erkennbare Persistenz entwickelt. Ein Beispiel: Angreifer versuchten, den Server eines taiwanesischen Softwareanbieters, mit potenziellem Zugriff auf die gesamte Lieferkette der Hightech-Fertigung, als Malware-Verteilpunkt zu nutzen.

Geopolitische Kopplung: Cyberangriffe als Begleitung militärischer Konflikte

Cyberoperationen sind heute eng mit geopolitischen Ereignissen und militärischen Operationen verzahnt. Der Report dokumentiert Angriffe auf Logistik- und Infrastrukturketten im Kontext der Unterstützung der Ukraine, Sabotage-Attacken auf Energie- und Verkehrsnetze sowie Spionagekampagnen, die zeitgleich mit diplomatischen Verhandlungen stattfinden. Nordkoreas Drohnenaufklärung in der Ukraine erfolgte parallel zu Cyberkampagnen. Diese Synchronisierung zeigt, dass Cyberraum und physische Kriegsführung zunehmend verschmelzen.

Handlungsempfehlungen für Unternehmen

Der Report zeigt, dass das grösste Risiko nicht in einem sprunghaften Anstieg der Angreifer-Fähigkeiten liegt, sondern in der Normalisierung KI-gestützter Cyberattacken. TrendAI empfiehlt Unternehmen deswegen, APT-Angriffe in ihre Sicherheitsstrategien fest einzubeziehen. Zentral sind:

• Integration von Supply-Chain-Risikomanagement und kontinuierliche Überprüfung von Zulieferern und Dienstleistern
• Etablierung schneller Erkennungs- und Eindämmungsmechanismen für KI-beschleunigte Angriffe


• Verstärkter Informationsaustausch mit Behörden und Branchenpartnern


• Einsatz von „Defensive AI´“ zur Antizipation und Neutralisierung autonomer Bedrohungen


• Regelmässige Incident-Response-Übungen und Red-Team-Tests unter Einbeziehung von APT- Szenarien

Betroffene Branchen

Die häufigsten Ziele staatlich unterstützter Angriffe waren 2025 Regierungsbehörden und Technologieunternehmen, gefolgt von kritischer Infrastruktur (Energie, Transport, Logistik), Fertigung und Finanzdienstleistern.

Pressestelle TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller / MSc Business Administration Partne
Telefon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8 / 8008 Zürich / Switzerland