Chinesische Hacker nutzen Zero-Day-Schwachstellen zur Infiltration von Netzwerken

LONDON (IT BOLTWISE) – In der Welt der Cyber-Spionage haben chinesische staatlich unterstützte Hacker zunehmend Schwachstellen in Netzwerkausrüstung und Virtualisierungsplattformen ins Visier genommen, um selbst die am besten geschützten und isolierten digitalen Umgebungen zu infiltrieren.

In der dynamischen und oft undurchsichtigen Welt der Cyber-Spionage haben chinesische Hackergruppen, die von staatlichen Stellen unterstützt werden, einen neuen Fokus auf Schwachstellen in Netzwerkausrüstung und Virtualisierungsplattformen gelegt. Diese Strategie ermöglicht es ihnen, selbst die am besten geschützten und isolierten digitalen Umgebungen zu durchdringen. Jüngste Vorfälle zeigen, dass diese Akteure Schwachstellen in weit verbreiteten Systemen wie Routern, Firewalls und Hypervisoren ausnutzen, um sich langfristigen Zugang zu verschaffen und dabei oft monatelang oder sogar jahrelang unentdeckt zu bleiben.

Ein Bericht von Branchenexperten hebt hervor, dass diese Operationen häufig auf Zero-Day-Schwachstellen abzielen – bisher unbekannte Sicherheitslücken – in Produkten von Anbietern wie Cisco, VMware und Microsoft. Hackergruppen wie Volt Typhoon wurden dabei beobachtet, wie sie Edge-Geräte kompromittieren, um sich Zugang zu verschaffen, und dann auf Virtualisierungsebenen übergehen, wo sie virtuelle Maschinen manipulieren und Daten extrahieren können, ohne Alarm auszulösen.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat Fälle dokumentiert, in denen diese Eindringlinge, oft mit der Volksrepublik China (VR China) in Verbindung gebracht, Techniken wie „Living-off-the-Land“ (LOTL) verwenden. Dabei nutzen sie legitime Tools wie PowerShell für Aufklärungszwecke, wie in CISA’s Beratung zu den Aktivitäten von Volt Typhoon beschrieben. Indem sie sich in den normalen Netzwerkverkehr einfügen, bleiben sie unauffällig, während sie ihre Privilegien erhöhen, manchmal durch unsicher gespeicherte Anmeldedaten auf öffentlich zugänglichen Geräten.

Eine bemerkenswerte Eskalation ereignete sich Anfang 2024, als das Justizministerium Anklagen gegen sieben chinesische Staatsangehörige enthüllte, die in eine langjährige Hacking-Verschwörung verwickelt waren. Diese Akteure zielten auf Kritiker, Unternehmen und Beamte ab und nutzten Computerintrusionen, die breitere Spionagebemühungen widerspiegelten. Kürzlich soll die Gruppe Salt Typhoon US-amerikanische Internetdienstanbieter infiltriert und sensible Daten gestohlen haben, wie Berichte aus der Industrie nahelegen.

Virtualisierungsschwachstellen sind zu einem primären Vektor geworden, wobei Hacker Hypervisoren kompromittieren, um auf isolierte virtuelle Umgebungen zuzugreifen. Eine China-verbundene Gruppe nutzte eine kritische Schwachstelle in SAP NetWeaver aus, indem sie gefälschte Zertifikate und Malware verwendete, die auf chinesischen Cloud-IPs gehostet wurden, um Energie- und Regierungssektoren anzugreifen. Ähnliche Kampagnen gegen VMware’s ESXi-Hosts wurden von Sicherheitsforschern beobachtet, bei denen Angreifer wie die neu identifizierte Fire Ant-Gruppe Schwachstellen ausnutzen, um vCenter-Umgebungen zu kompromittieren.

Diese Vorgehensweise ermöglicht es, luftabgeschottete Systeme zu verletzen, indem zunächst verbundene Netzwerkausrüstung kompromittiert wird, um dann in virtualisierte Segmente vorzudringen. Nationale Sicherheitsbeamte in den USA kämpfen mit der Bedrohung durch chinesische Hacker, die in Telekommunikationsnetzen lauern, was das Ausmaß dieser Einbrüche unterstreicht.

Zusätzlich zu diesen Herausforderungen hat Microsoft im Juli 2025 bekannt gegeben, dass staatlich unterstützte chinesische Gruppen Schwachstellen in ihren SharePoint-Servern ausgenutzt haben, was über 400 Organisationen betraf, darunter die US-Atomwaffenbehörde. Diese Schwachstellen ermöglichten es, Bundesbehörden zu kompromittieren, was eine globale Welle von Angriffen auslöste und dringende Sicherheitsupdates erforderlich machte.

Die Auswirkungen dieser Angriffe gehen über den unmittelbaren Datendiebstahl hinaus und könnten Sabotage in kritischen Infrastrukturen wie Stromnetzen oder militärischen Systemen ermöglichen. CISA’s Warnungen zu Volt Typhoon zeigen, dass diese Akteure Administratoranmeldeinformationen anstreben, um Domänencontroller zu erreichen und mit minimalen Spuren Entdeckungen durchzuführen.

Brancheninsider warnen, dass ohne ein robustes Patch-Management und Zero-Trust-Architekturen solche Einbrüche zunehmen werden. Verteidiger reagieren mit verstärkter Überwachung von Edge-Geräten und Virtualisierungsstapeln. Die Anklagen des Justizministeriums signalisieren einen Vorstoß zur Rechenschaftspflicht, obwohl die Zuordnung weiterhin eine Herausforderung darstellt.

Diese Kampagnen unterstreichen die Notwendigkeit internationaler Zusammenarbeit. Wie Einbrüche wie Salt Typhoon zeigen, sind isolierte Umgebungen keine sicheren Zufluchtsorte mehr, was proaktives Schwachstellenmanagement und sektorübergreifenden Informationsaustausch erfordert, um hartnäckigen Gegnern einen Schritt voraus zu sein.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!