Am 23. April 2026 haben 15 Sicherheitsbehörden aus zehn Ländern ein gemeinsames Advisory veröffentlicht. Neben dem britischen National Cyber Security Centre (NCSC) und den US-Behörden CISA, FBI und NSA sind aus Deutschland das Bundesamt für Verfassungsschutz (BfV), der Bundesnachrichtendienst (BND) und das BSI beteiligt. Dazu kommen Partner aus Australien, Kanada, Japan, den Niederlanden, Neuseeland, Spanien und Schweden. Diese Breite des Absenders ist ungewöhnlich und unterstreicht, wie ernst die Behörden die beschriebene Bedrohung einschätzen.

Was ist das Problem?

Staatlich geförderte chinesische Cyberakteure haben ihre Vorgehensweise in den letzten Jahren fundamental verändert. Früher bauten sie ihre Angriffsinfrastruktur individuell auf. Heute kapern sie massenhaft handelsübliche Geräte und formen daraus verdeckte Netzwerke (sogenannte Covert Networks oder Botnets), über die sie ihre Angriffe leiten.
Konkret geht es um SOHO-Router (Router für kleine Büros und Heimnetzwerke), IoT-Geräte wie Netzwerkkameras und Videorekorder, Firewalls sowie NAS-Systeme. Alle diese Geräte werden kompromittiert und zu einem dynamisch anpassbaren Netzwerk zusammengeschlossen. Das Ziel: Die eigentliche Angriffsherkunft zu verschleiern und Zuschreibungen zu erschweren.
Das Besondere an diesem Vorgehen ist die Skalierung. Das Advisory nennt als Beispiel das Botnet „Raptor Train“, das im Jahr 2024 nach Behördenangaben mehr als 200.000 Geräte weltweit infizierte. Es wurde laut FBI von der chinesischen Firma Integrity Technology Group betrieben, die auch hinter der Hackergruppe Flax Typhoon steckt.

Welche Akteure stecken dahinter?

Das Advisory benennt mehrere chinesische Gruppen, die solche Netzwerke aktiv nutzen. Volt Typhoon hat damit in US-amerikanischer kritischer Infrastruktur Fuß gefasst, darunter Energie, Transport, Telekommunikation und Wasserversorgung. Der verwendete KV Botnet bestand hauptsächlich aus veralteten Cisco- und Netgear-Routern, die am Ende ihres Support-Lebenszyklus waren und keine Sicherheitsupdates mehr erhielten. Flax Typhoon hat über das Raptor-Train-Netzwerk Spionage gegen Militär, Behörden und Telekommunikationsunternehmen betrieben.
Für Deutschland ist besonders relevant, dass APT31 explizit im Advisory des BfV erwähnt wird. Diese Gruppe agiert laut Verfassungsschutz seit Ende 2018 gezielt gegen westliche politische Institutionen, also Ministerien, Behörden und Stiftungen, und greift dabei auf kompromittierte Geräte in Deutschland zurück. APT31 ist damit keine abstrakte Bedrohung für andere Länder, sondern aktiv in der deutschen Infrastruktur präsent.
Die Behörden stellen außerdem fest, dass mehrere chinesische Akteure dieselben Botnets gleichzeitig nutzen können. Ein einzelnes Netzwerk kompromittierter Geräte dient also potenziell verschiedenen staatlich geförderten Gruppen als gemeinsame Ressource.

Warum ist das so schwer zu erkennen?

Die Verschleierungsnetzwerke nutzen legitimen Internet-Traffic als Tarnung. Angriffspakete kommen nicht von bekannten Angriffsadressen, sondern von normalen Heimroutern und Bürogeräten weltweit. Zudem gibt es dokumentierte Fälle, in denen dieselben Netzwerke sowohl von legitimen Kunden als auch für Angriffe genutzt wurden, was die Zuordnung weiter erschwert.
Die Angreifer nutzen diese Netzwerke für den gesamten Angriffszyklus: Aufklärung und Scanning möglicher Ziele, Auslieferung von Malware, Kommunikation mit bereits installierten Schadprogrammen und das Ausleiten gestohlener Daten. Auch das unauffällige Recherchieren neuer Angriffsmethoden und das Beobachten potenzieller Opfer läuft über diese Infrastruktur.

Was sollten Organisationen tun?

Das Advisory richtet sich in erster Linie an Betreiber kritischer Infrastruktur und Organisationen mit erhöhtem Bedrohungsprofil, also Behörden, Energieversorger, Telekommunikationsunternehmen, Rüstungsunternehmen und politische Institutionen. Für diese Zielgruppen empfehlen die Behörden aktives Netzwerk-Monitoring, geografische Profilerstellung von Verbindungsursprüngen und den Einsatz von Threat-Intelligence-Feeds für dynamische Blocklisten.
Für Organisationen in sensiblen Sektoren empfehlen die Behörden zusätzlich eine aktive Suche nach Kompromittierungsindikatoren (Threat Hunting) sowie die Einbindung aktueller Bedrohungsinformationen aus dem Bereich China-naher Akteure in die eigene Abwehrstrategie.
Das vollständige Advisory enthält detaillierte Detektions- und Mitigationsempfehlungen sowie eine MITRE ATT&CK-Zuordnung der beobachteten Techniken.