Chinesische Cybercrime-Gruppe TA4922 weitet Cybercrime-Kampagnen auf Europa aus

Eine chinesischsprachige Cybercrime-Gruppe hat ihre Operationen auf Europa ausgeweitet und nutzt bisher nicht dokumentierte Malware und die Atlas-Backdoor für finanziell motivierte Angriffe.

Die Gruppe, die als TA4922 bekannt ist, hatte es in der Vergangenheit auf Organisationen in Ostasien abgesehen, doch die jüngsten Kampagnen konzentrierten sich auf Deutschland, Italien, das Vereinigte Königreich und Südafrika. Laut Proofpoint verwendet der Bedrohungsakteur stark lokalisierte Phishing-Köder, darunter Gehaltsabrechnungen, Steuerprüfungen, Umsatzsteuererklärungen, Rechnungen, Compliance-Nachrichten und HR-Kommunikation, und spricht seine Opfer auch über WhatsApp, LINE und Microsoft Teams an.

Den Forschern zufolge hat TA4922 seine Aktivität seit März stark erhöht und zeigt ein hohes Tempo und eine Vielzahl von Zielen. Sein Toolkit umfasst nun Atlas RAT, RomulusLoader, SilentRunLoader und ValleyRAT, wobei einige Indikatoren darauf hindeuten, dass große Sprachmodelle zur Beschleunigung der Malware-Entwicklung beitragen könnten.

Obwohl TA4922 offenbar finanziell motiviert ist, verfügt die Malware auch über Überwachungsfunktionen, die von Spionagegruppen genutzt oder an sie verkauft werden könnten.

Großbritannien stellt neue Cybersicherheitsstrategie für den Energiesektor vor

Die britische Regierung hat eine neue Cybersicherheitsstrategie für den Energiesektor veröffentlicht. Sie warnt davor, dass der Übergang zu einem stärker digitalisierten, vernetzten und sauberen Energiesystem neue Risiken für kritische nationale Infrastrukturen mit sich bringt.

Die vom Ministerium für Energiesicherheit und Net Zero veröffentlichte Strategie enthält Maßnahmen zur Stärkung der Widerstandsfähigkeit der Strom- und Gasnetze Großbritanniens, der Versorgungsketten und der neuen Energietechnologien. Die Regierung plant, bis Ende 2026 Grundsätze für die Sicherheit von Versorgungsketten zu entwickeln und bis 2027 ihre Fähigkeit zur Bewertung von Versorgungsketten im Energiesektor zu verbessern.

Die Strategie signalisiert auch strengere Erwartungen an die Betreiber, einschließlich einer Überprüfung der NIS-Schwellenwerte und möglicher grundlegender Cybersicherheitsanforderungen für lizenzierte Energieversorger. Die DESNZ plant außerdem, bis Ende 2026 eine branchenübergreifende Cyberübung durchzuführen, um die Reaktionen auf einen ausgeklügelten Angriff auf das britische Energiesystem zu testen.

KI-gestütztes Ransomware-Toolkit beschleunigt die Entwicklung von EDR-Umgehungen

Forscher haben ein cyberkriminelles Ransomware-Toolkit entdeckt, das KI-gestützte Entwicklung nutzt, um die Active Directory-Erkennung zu automatisieren und Techniken zur Umgehung von Endpoint Detection and Response-Tools schnell zu testen.

Sophos fand das Framework in einer Kundenumgebung, nachdem Alarme durch verdächtige Payloads ausgelöst wurden. Das Toolkit umfasste Cobalt Strike-Profile, die den Datenverkehr als legitime Webanfragen tarnen, einen Telegram-basierten Befehls- und Kontrollmechanismus, Python-Skripte zur Shellcode-Injektion und einen Cloudflare Worker, der die Backend-Infrastruktur verschleiert.

Die Ermittler fanden heraus, dass Tools wie Cursor und Claude Opus Agents zur Unterstützung von Codierung, Analyse, Überarbeitung, Dokumentation und Tests verwendet wurden. Im Rahmen des Frameworks wurden auch offensive Sicherheitsforschungen überprüft, Techniken auf MITRE ATT&CK abgebildet, in Laborumgebungen reproduziert und Payloads gegen Sophos, CrowdStrike und Microsoft EDR-Tools getestet.

Sophos betonte, dass der Arbeitsablauf weiterhin von Menschenhand gesteuert wurde und es keine Anzeichen dafür gab, dass KI in den Opferumgebungen eigenständig operierte. Der Fall zeigt jedoch, wie KI die Kluft zwischen veröffentlichter Forschung und krimineller Ausnutzung verkürzt.

Norsk Tipping von aufeinanderfolgenden DDoS-Angriffen betroffen

Der staatliche norwegische Glücksspielbetreiber Norsk Tipping wurde zum zweiten Mal innerhalb von zwei Tagen von einem Cyberangriff getroffen, der zu einer Verlangsamung seiner Online-Dienste führte.

Das Unternehmen bestätigte, dass es sich bei dem Vorfall am Mittwochabend um eine Distributed-Denial-of-Service-Attacke handelte, also um dieselbe Art von Angriff, die bereits am Vorabend die Dienste unterbrochen hatte. Norsk Tipping erklärte, dass bösartiger Datenverkehr seine Systeme überflutete und Websites und digitale Plattformen beeinträchtigte, wobei KongKasino-Spiele zu den Diensten gehörten, die während des Vorfalls am Dienstag betroffen waren.

Der Telekommunikationsanbieter Telenor hat das Unternehmen dabei unterstützt, unerwünschten Datenverkehr herauszufiltern und die Störungen zu verringern. Norsk Tipping sagte, dass der Angriff am Mittwoch offenbar größer war als der erste, obwohl die Situation später in der Nacht unter Kontrolle gebracht wurde.

Derzeit gibt es keine bestätigten Informationen darüber, wer hinter den Angriffen steckt oder ob die beiden Vorfälle miteinander in Verbindung stehen. Obwohl DDoS-Angriffe in der Regel keinen Datendiebstahl beinhalten, können sie erhebliche Störungen verursachen, indem sie digitale Dienste mit Datenverkehr überlasten.

Südafrika sieht sich einer eskalierenden DDoS-Bedrohung gegenüber

Jüngste DDoS-Angriffe auf südafrikanische Internet-Infrastrukturanbieter, Hosting-Unternehmen und Verbindungsdienste deuten nach Ansicht von Forschern auf eine breitere Eskalation der Bedrohungen für die digitale Wirtschaft des Landes hin.

Sie warnten, dass Angreifer zunehmend Multi-Vektor-DDoS-Kampagnen einsetzen, bei denen mehrere Techniken in einem einzigen Vorfall kombiniert werden, um die Abwehrkräfte zu überwältigen und die Störung zu maximieren. Jüngste Angriffe auf Hosting- und Konnektivitätsanbieter zeigen, wie Bedrohungsakteure auf vorgelagerte Organisationen abzielen, bei denen Ausfälle kaskadenartig auf Tausende von nachgelagerten Unternehmen und Nutzern übertragen werden können.

In der zweiten Jahreshälfte 2025 belegte Südafrika mit 171.812 zwischen Juli und Dezember 2025 verzeichneten DDoS-Angriffen den fünften Platz der am häufigsten angegriffenen Länder in EMEA. Das Land stand auch weltweit an erster Stelle bei Angriffen auf verschiedene Sektoren, darunter Geschäftsbanken, Versicherungsagenturen und Computersystemdesigndienste.

Echtzeit-Transparenz, datengestützte Abhilfemaßnahmen und proaktive Vorbereitung sind heute für die Widerstandsfähigkeit unerlässlich.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.