Zum Inhalt springen
Neue Untersuchung von Trend Micro

Gezielte Cyber-Spionagekampagnen gegen Telekommunikations- und Regierungsorganisationen

Die vom BSI als aktiv geführte China-nahe APT-Gruppe Salt Typhoon (Earth Estries) steht im Mittelpunkt einer neuen Untersuchung von Trend Micro. Die Gruppe ist seit Jahren durch gezielte Cyber-Spionagekampagnen gegen Telekommunikations- und Regierungsorganisationen bekannt. Das BSI veröffentlichte bereits im Mai eine offizielle Warnung vor Angriffen.

Autor: Jörg Schröper • 24.10.2025 • ca. 1:35 Min

Die vom BSI als aktiv geführte China-nahe APT-Gruppe Salt Typhoon (Earth Estries) steht im Mittelpunkt einer neuen Untersuchung von Trend Micro. Die Gruppe ist seit Jahren durch gezielte Cyber-Spionagekampagnen gegen Telekommunikations- und Regierung
© Gorodenkoff - shutterstock.com

Die Trend Micro-Analyse beschreibt, wie Salt Typhoon in jüngsten Angriffen ein neues Muster koordinierter Operationen zeigt: ein strukturiertes Modell der Kollaboration und Zugangsteilung zwischen Spionageakteuren, das die Effizienz und Tarnung solcher Kampagnen deutlich erhöht. Diesen Ansatz bezeichnen die Forscher als „Premier Pass-as-a-Service“. Kompromittierte Zugänge werden von einer Gruppe an die andere weitergegeben, um weitere Angriffe zu ermöglichen und die Attribution zu erschweren. Der Bericht analysiert im Detail die Aktivitäten der Gruppen Salt Typhoon/Earth Estries und Earth Naga (auch bekannt als Flax Typhoon, RedJuliett oder Ethereal Panda).

Beobachtete Fälle und eingesetzte Werkzeuge

In einem Fall übergab Earth Estries im November 2024 den Zugriff auf eine große Einzelhandelskette in der APAC-Region an Earth Naga. Ein weiterer Fall betrifft eine südostasiatische Regierungsbehörde im März 2025. Dabei wurde eine Kombination bekannter Schadprogramme, darunter ShadowPad, CrowDoor und Cobalt Strike, eingesetzt, um die Persistenz in den Zielsystemen zu sichern.

Wandel in der Bedrohungslandschaft

Diese beobachtete operative Zusammenarbeit zwischen unterschiedlichen APT-Gruppen markiert einen Wandel in der Cyberbedrohungslandschaft. Die Grenze zwischen einzelnen Angreifergruppen verschwimmt, die Komplexität der Angriffe steigt. Trend Micro spricht daher von einem „neuen Zeitalter kollaborativer Spionageoperationen“.

Motivation und Bedeutung

Der „Premier Pass“-Ansatz ähnelt in gewisser Weise einem Dienstleistungsmodell, bei dem Gruppen mit bestehendem Zugang („Access Provider“) diesen gezielt an andere Akteure weitergeben. Dies steigere Effizienz und Geschwindigkeit der Angriffe – vom Erstzugriff bis zur Datenausleitung – und erschwert gleichzeitig die eindeutige Zuordnung zu einer einzelnen Bedrohungsgruppe.

Zusammenfassung

  • „Premier Pass-as-a-Service“ beschreibt eine neue Form enger Zusammenarbeit zwischen verschiedenen APT-Gruppen, bei der kompromittierte Zugänge gezielt weitergegeben werden, um weitere Angriffe zu ermöglichen.
  • In mehreren Fällen fungierte Salt Typhoon/Earth Estries als sogenannter „Access Broker“, der Earth Naga Zugriff auf bereits infiltrierte Systeme verschaffte: ein Vorgehen, das die Nachverfolgung und Zuschreibung einzelner Angriffe erheblich erschwert.
  • Die Kampagnen zielten auf kritische Sektoren, insbesondere Regierungsstellen, Telekommunikationsanbieter sowie Organisationen im Einzelhandel im asiatisch-pazifischen Raum.
  • Zu den beobachteten Werkzeugen zählen umzer anderem die Backdoors CrowDoor und ShadowPad, die in den Netzwerken von Regierungsorganisationen in Südostasien eingesetzt wurden.

Für Sicherheitsverantwortliche bedeutet das: Die Verteidigungsstrategie muss sich zunehmend gegen vernetzte Angreifer-Ökosysteme richten und nicht mehr nur gegen einzelne, isolierte Gruppen. Das neue Modell erweitert die bekannten Konzepte von Initial Access Brokern um eine strategischere, koordinierte Dimension.

Das könnte Sie auch interessieren
scam
Job-Betrüger am Werk Vorsicht vor digitalem Job-Betrug durch „Task Scams“
Digital Twin
Datenbasis zur Entscheidungsfindung Trend Micro: Security mit Digital-Twin-Technik
Trend Micro: Risiken der Infrastruktur Ungeschützte KI-Server im Netz
KI
KI-gestützte Cybersicherheit Trend Micro und Google Cloud erweitern Partnerschaft
Theft
Trend Micro: Stealer aktualisiert Lumma ist wieder auf Diebestour
Cloud Security
CES 2025: Trend Micro und Intel Gemeinsam gegen versteckte Bedrohungen
KI Gefahr
Cybersicherheitsvorhersagen für 2025 Bedrohung durch bösartige digitale Zwillinge
D.Arendt
Trend Micro kommentiert BSI-Bericht  Kann eine NIS2-Ausweitung helfen?
Mehr passende Artikel
it-sa insights Sprecher 2025
it-sa Insights 2025 Stimmen aus der Security-Branche – ernsthaft, pointiert und mit Augenzwinkern
Für 75 Prozent der Verbraucher gilt der Schutz vor Betrug als Priorität. Doch Nachlässigkeit und komplexe Sicherheitschecks gefährden Kunden und Banken gleichermaßen.
Betrugsschutz entscheidend bei der Bankenwahl Identitätsdiebstahl offenbar weit verbreitet
Online-Immobiliengeschäft
Betrugsschutz bei Online-Immobiliengeschäften Immobilien im Netz – DIY-Tipps für digitale Sicherheit
FTAPI, Anbieter für sicheren Datenaustausch und Automatisierung, erweitert seine Plattform um die Unterstützung des E-Mail-Verschlüsselungsstandards S/MIME (Secure/Multipurpose Internet Mail Extensions).
FTAPI integriert S/MIME Vertrauliche Informationen sicher per E-Mail versenden
DORA Bausteine
Aufsichtsbehörden verschärfen Kontrolle operativer Risiken DORA-Prüfungen: Ein Weckruf für die Finanzbranche
Weiter zur Startseite