Eine groß angelegte Cyberspionage-Kampagne hat zwischen Mai und Juli 2025 die russische kritische Infrastruktur erschüttert. Die als PhantomCore bekannte APT-Gruppe (Advanced Persistent Threat) kompromittierte dabei über 180 Systeme strategisch wichtiger Organisationen, wie Cybersicherheitsexperten von Positive Technologies berichten.
Strategische Ziele im Visier der Cyberkriminellen
Die Angreifer konzentrierten sich gezielt auf hochsensible Bereiche der russischen Wirtschaft. Zu den betroffenen Organisationen zählen Regierungsbehörden, Forschungseinrichtungen sowie Unternehmen aus dem Verteidigungs- und Schiffbausektor. Darüber hinaus wurden Firmen der Chemie-, Bergbau-, Verarbeitungsindustrie und des IT-Sektors ins Visier genommen.
Die zeitliche Analyse der Angriffe offenbart eine methodische Herangehensweise. Der erste dokumentierte Angriff erfolgte am 12. Mai 2025, wobei der Höhepunkt der Aktivitäten im Juni erreicht wurde. Besonders auffällig ist der 30. Juni, an dem 56% aller identifizierten Infektionen stattfanden.
Sophistizierte Angriffstechniken und lange Verweildauer
Die Untersuchung enthüllt das hohe Qualifikationsniveau der PhantomCore-Gruppe. Die Angreifer verweilten durchschnittlich 24 Tage in kompromittierten Netzwerken, wobei die maximale Aufenthaltsdauer 78 Tage betrug. Diese ausgedehnte Präsenz ermöglichte es den Hackern, Netzwerkstrukturen gründlich zu analysieren und Zugang zu wertvollen Informationen zu erlangen.
Besonders beunruhigend ist die Tatsache, dass zum Zeitpunkt der Berichtserstellung 49 Systeme weiterhin unter der Kontrolle der Cyberkriminellen stehen. Dies verdeutlicht die anhaltende Bedrohung für die betroffenen Organisationen und unterstreicht die Persistenz der Angreifergruppe.
Vielfältiger Werkzeugkasten der Hacker
PhantomCore zeichnet sich durch einen bemerkenswert diversen Malware-Katalog aus. Das Arsenal umfasst sowohl weitverbreitete Open-Source-Tools und modifizierte Versionen bekannter Programme als auch eigenentwickelte Schadsoftware. Diese Kombination verschiedener Angriffswerkzeuge erschwert die Erkennung erheblich und ermöglicht längere unentdeckte Aufenthalte in Unternehmensnetzwerken.
Die Infrastruktur der Gruppe zeigt eine professionelle Segmentierung nach Funktionen und verwalteten Tools, was auf einen hochorganisierten Ansatz bei der Durchführung von Cyberangriffen hinweist.
Globale Infrastruktur mit russischem Schwerpunkt
Eine bemerkenswerte Entdeckung betrifft die geografische Verteilung der Command-and-Control-Server: 48% der PhantomCore-Infrastruktur befindet sich in Russland, hauptsächlich bei drei großen russischen Providern. Die verbleibenden 52% sind auf internationale Standorte verteilt, darunter Finnland, Frankreich, Niederlande, USA, Deutschland, Hongkong, Moldau und Polen.
Auffällig ist, dass ein Drittel der gesamten Infrastruktur (33%) bei einem einzigen kanadischen Provider konzentriert ist, was auf spezifische Präferenzen der Gruppe bei der Auswahl ihrer Hosting-Dienste hindeutet.
Weiterentwicklung der Bedrohung
Viktor Kazakov, leitender Spezialist der Cyber-Intelligence-Gruppe PT ESC TI, führt den Aktivitätsanstieg auf die Evolution des Malware-Arsenals von PhantomCore zurück. Vermutlich arbeiteten die Angreifer bis Ende April intensiv an der Verbesserung ihrer Tools, um sich auf eine neue Angriffswelle vorzubereiten.
Forscher identifizierten zudem einen neuen Ableger der Gruppe, der aus weniger qualifizierten Spezialisten besteht. Dieser Zweig wurde wahrscheinlich von einem Mitglied der Haupt-PhantomCore-Gruppe gegründet, um die Reichweite der kriminellen Aktivitäten zu erweitern und die Angriffsfläche zu vergrößern.
Die rechtzeitige Erkennung und Benachrichtigung der betroffenen Organisationen durch Positive Technologies verhinderte schwerwiegendere Folgen der Cyberangriffe. Dieser Fall unterstreicht die kritische Bedeutung kontinuierlicher Bedrohungsüberwachung und die Notwendigkeit verstärkter Schutzmaßnahmen für kritische Infrastrukturen. Organisationen sollten regelmäßige Sicherheitsaudits durchführen, Schutzsysteme aktualisieren und Mitarbeiter in grundlegenden Cybersicherheitspraktiken schulen, um das Risiko ähnlicher Vorfälle zu minimieren.
