Hochentwickelte Bedrohung aus dem Ausland
Die Sicherheitsforscher von Talos haben die laufenden Angriffe ebendies unter die Lupe genommen. Es handelt sich um eine äußerst ausgeklügelte Bedrohung vom chinesischen Netzwerk der Advanced Persistent Threat-Akteure (APTs). Bisher konzentrierten sich die Attacken auf die Telekommunikationsinfrastruktur in Südasien, allerdings in den letzten Monaten wechselten die Angreifer auf Anbieter in Südosteuropa. Interessanterweise wurden in Deutschland bislang keine derartigen Angriffe registriert – doch die Entfernung ist kaum entscheidend. Im Internet existiert stets ein Einstiegspunkt, unabhängig vom geografischen Standort – solange der Zugang offen bleibt.
Kein Zauber, allerdings Planung und Forschung
Bei UAT-7290 handelt es sich nicht um Zaubertricks. Stattdessen verfolgen die Hacker einen langen Atem. Erst wird ausspähen betrieben – dann folgt die sorgfältige Planung für den Zugriff. Der Einstieg erfolgt häufig über Schwachstellen in der Netzwerk- und Zugangstechnik und ebenfalls über schlecht geschützte Schnittstellen wie SSH. Besonders betroffen sind Komponenten der Telekommunikationsinfrastruktur die ständiger Erreichbarkeit bedürfen.
Vertrauter Code aus öffentlichen Quellen
Häufig basiert die eingesetzte Malware gar nicht auf eigens entwickelter Technik. Stattdessen nutzen die Angreifer öffentlich zugängliche Beispielcodes von Plattformen wie GitHub oder GitLab. Diese Codes zeigen – ebenso wie bestimmte Sicherheitslücken aktiv ausnutzbar sind. Die Hacker passen den Quellcode an das jeweilige Szenario an und setzen ihn bei den Betreibern ein.
Die Malware RushDrop und ihre Vorgehensweise
Die Sicherheitsanalysten von Talos entdeckten bei den Angriffen die Malware RushDrop. Diese legt im System ein Verzeichnis namens `.pkgdb` an. Darin werden Dateien abgelegt – die nacheinander gestartet werden. Das Tool läuft unter verschiedenen Aliasnamen – etwa ChronosRAT oder MystRodX. Diese Namenswechsel helfen dabei Spuren im System zu verschleiern.
Das Standardpaket SilentRaid
SilentRaid ist ein umfangreicher Baukasten. Er erlaubt den vollen Zugriff auf den infizierten Rechner und lässt Befehle, Weiterleitungen sowie die Dateiverwaltung zu. Dieses Werkzeug wird häufig in den Untergrundforen vermietet und sorgt dafür. Dass Hacker dauerhaft in der Infrastruktur verbleiben können. Der Rückkanal läuft dabei oft über DNS-Adressen – so nutzt die Gruppierung in Talos die IP 8․8․8.8. Diese wirkt unverdächtig weil sie von jedem mit Google DNS vorkonfiguriert werden kann.
Bulbature als Relaisstation
Zusätzlich setzen die Angreifer auf Bulbature – eine Funktion die aus kompromittierten Systemen eine Durchleitung Richtung Zielnetzwerke macht. Diese Systeme agieren als Relais – um den Traffic zu verteilen. Dadurch lassen sich Zugriffe verschleiern und der Datenverkehr wird schwerer nachzuvollziehen.
Deutschland bleibt im Schatten der Angriffe
Obwohl die deutschen Netze bislang nicht öffentlich im Fokus stehen, sagt dies wenig über den tatsächlichen Schutz aus. Telekommunikationsunternehmen stehen vor demselben Dilemma – sie müssen Offenheit gegenüber dem Internet wahren und gleichzeitig Sicherheitslücken schließen. Bereits 2016 kam es zu Cyberangriffen auf Router der Deutschen Telekom, bei denen durch Schwachstellen in Port 7547 riesige Ausfälle ausgelöst wurden. Besonders bei großen Internet-Providern sind bestimmte Ports immer offen – was die Tür für Angriffe zusätzlich öffnet.
Berlin im Strom- und Kommunikationschaos
Am 3. Januar 2026 brennt eine Kabelbrücke über den Teltowkanal in Berlin-Lichterfelde. Binnen kurzer Zeit befinden sich Tausende im Stillstand. Über 45․000 Haushalte und weiterhin als 2․200 Gewerbekunden sind von der Stromversorgung abgeschnitten. Es gibt widersprüchliche Bekennerschreiben sowie Verschwörungstheorien. Drei Tage später übernimmt die Bundesanwaltschaft die Ermittlungen. Schon am 7. Januar distanzieren sich Gruppen mit angeblichem Bezug zur „Vulkangruppe“. Eine Woche später wird ein Zeugenaufruf mit Belohnung – eine Million Euro – veröffentlicht. Das Ziel: die Täter zu fassen.
Kritische Infrastruktur im Krisenmodus
Diese Vorfälle sind kaum außergewöhnlich für Betreiber kritischer Infrastruktur. Trotzdem zeigt die Situation – ohne Strom – wie fragil das Mobilfunknetz sein kann. Die Akku-Puffer reichen nur wenige Stunden, danach sind Notstromaggregate gefordert. Bei großflächigen langfristigen Ausfällen droht der Komplettstillstand des Kommunikationssystems. Die Bundesnetzagentur hat entsprechende Resilienzpläne veröffentlicht. Diese empfehlen · auf Notstromlösungen und Automatisierungen zu setzen · um die Versorgung zu sichern.
Neue Ernsthaftigkeit in der Verteidigung
Tatsächlich hat sich die Defensive gegen Telekommunikationsangriffe kaum verändert. Neu ist lediglich, dass diese Szenarien jetzt in den Schutzmaßnahmen berücksichtigt werden. Sicherheitswarnungen und Schutzbulletins sind öffentlich zugänglich. Allerdings gehen die tatsächlichen Angriffszahlen nur unterschwellig nach oben. Bei gezielter Suche lassen sich dennoch immer mehr Hinweise finden.
Kommentare
: Mehr als nur Einzelfälle
UAT-7290 ist kein Einzelfall – vielmehr spiegelt er die Normalität wider. Die Zugänge zum Internet bleiben offen – ebendies dort setzen die Hacker an. Berlin zeigt anschaulich; ebenso wie schnell eine Kommunikationskrise entstehen kann. Es ist keine Zeit für Schnellschüsse. Es ist vielmehr notwendig die Lage gründlich zu analysieren Risiken zu kennen und vorausschauend zu handeln. Das Bundesamt für Bevölkerungs- und Katastrophenschutz bietet dazu praktische Tipps an.