Das National Cyber Security Centre (NCSC) und 15 internationale Partner haben eine gemeinsame Warnung herausgegeben. Darin heißt es, dass mit China verbundene Bedrohungsakteure ihre Angriffe hinter Netzwerken aus kompromittierten, alltäglichen Internetgeräten verstecken.
Die Warnung beschreibt eine bedeutende taktische Veränderung. Gruppen, die mit Peking in Verbindung stehen, leiten ihre Aktivitäten jetzt über Hunderttausende kompromittierte Heimrouter und smarte Geräte. Diese Vorgehensweise ersetzt damit bisher genutzte eigene Angriffs-Infrastruktur.
Botnets aus kompromittierten Heimgeräten
Das Dokument zeigt ein Muster bei Operationen von Volt Typhoon und Flax Typhoon. Dabei wird der Datenverkehr immer über kompromittierte Router in kleinen Büros und Privathaushalten geleitet, bevor das Ziel erreicht wird.
Solche verdeckten Netzwerke helfen Betreibern aus China, Ziele zu scannen, Schadsoftware auszuliefern und Daten abzuziehen. Gleichzeitig verschleiern sie die Herkunft jedes Angriffs.
Raptor Train ist eines solcher Netzwerke und hat laut NCSC im Jahr 2024 mehr als 200.000 Geräte weltweit infiziert. Das FBI sieht die Verwaltung des Netzwerks bei Integrity Technology Group, einer in Peking ansässigen Cybersecurity-Unternehmen.
Das Vereinigte Königreich verhängte im Dezember 2025 Sanktionen gegen das Unternehmen wegen rücksichtsloser Cyberaktivitäten gegen alliierte Staaten.
Viele der betroffenen Geräte sind Webcams, Videorekorder, Firewalls und Netzwerk-Speichergeräte, die das Ende ihres Lebenszyklus erreicht haben. Sie erhalten keine Sicherheits-Updates mehr von den Herstellern. Daher werden sie zu leichten Zielen für massenhafte Angriffe.
Westliche Infrastruktur bereits infiltriert
Volt Typhoon hat ein weiteres verdecktes Netzwerk genutzt, das als KV Botnet bekannt ist. Die Gruppe konnte Zugänge zu kritischer nationaler Infrastruktur in den Vereinigten Staaten und verbündeten Ländern schaffen.
Angaben des US-Justizministeriums, die in der Warnung genannt werden, bestätigen diese Erkenntnisse. Energieversorger, Verkehrssysteme und Regierungsnetzwerke werden darin als aktuelle Ziele aufgeführt.
Paul Chichester, Leiter des Bereichs Operations beim NCSC, weist zudem auf ein weiteres Problem hin, das als Indikator-Extinktion bekannt ist. Kennzeichen, mit denen Angreifer bisher aufgespürt wurden, verschwinden meist so schnell wie sie von Forschern veröffentlicht werden.
Dieses Problem ähnelt großen Schwierigkeiten, staatlich unterstützte Hacker-Kampagnen in kritischer Infrastruktur und im Finanzbereich nachzuverfolgen.
In den vergangenen Jahren haben wir einen gezielten Wandel bei in China ansässigen Cybergruppen gesehen, die diese Netzwerke nutzen, um bösartige Aktivitäten zu verbergen und Rechenschaft zu vermeiden”, erklärte Paul Chichester, Leiter Operations beim NCSC.
Die Warnung empfiehlt Unternehmen, das normale Netzwerkverhalten zu erfassen und dynamische Gefahrenmeldungen zu nutzen. Zudem wird geraten, verdeckte Netzwerke mit Verbindung zu China als eigenständige fortschrittliche Bedrohung zu beobachten.
Im Jahr 2024 gab es weltweit durch Cyberangriffe Verluste von mehr als 2 Milliarden USD bei digitalen Vermögenswerten. In den kommenden Monaten wird sich zeigen, ob Verteidiger Schritt halten können. Denn mittlerweile ist schon die bloße Zuordnung von Angriffen gefährdet.
