Die Cyberbedrohungen 2025 verdeutlichen eine Verschiebung weg von neuen Tools und Techniken hin zu einem stärkeren Fokus auf Menschen, Identitäten und Zugänge. Die großflächige Nutzung dieser Ressourcen liefert Verteidigern wertvolle Hinweise für 2026.

Diese Rückschau stützt sich auf die Forschung das Threat-Intelligence-Team von Outpost24, im Jahr 2025 gesammelt hat. Dabei beobachtete das Team, wie geopolitische Konflikte, organisierte Cyberkriminalität und neue Technologien zusammenwirkten, um Vorgehensweisen, Zusammenarbeit und Monetarisierung von Bedrohungsakteuren grundlegend zu verändern.

Es entstand ein schnelleres und professionelleres Untergrund-Ökosystem. Crimeware-as-a-Service (CaaS) erreichte industrielle Ausmaße, künstliche Intelligenz (KI) wurde in tägliche kriminelle Abläufe integriert, und der traditionelle Carding-Betrug ging unter regulatorischem Druck, verbesserter Erkennung und konsequenter Strafverfolgung weiter zurück.

Parallel dazu begannen Bedrohungsakteure, Initialzugänge zu Unternehmensnetzwerken stärker zu monetarisieren, vertrauenswürdige Drittanbieter-Plattformen auszunutzen und ideologische Narrative mit Ransomware- und erpressungsbasierten Geschäftsmodellen zu verbinden. Diese Muster prägten die Cyberbedrohungsaktivitäten 2025 und liefern weiterhin wertvolle Hinweise auf die Risikolage für 2026.

Wichtige Cyberbedrohungstrends im Jahr 2025

• Steigende geopolitische Spannungen, die Cyberbedrohungsaktivitäten direkt beeinflussen

• Zunehmende Professionalisierung des Untergrund-Cybercrime-Ökosystems

• CaaS erreicht industrielle Größenordnung

• KI wird in alltägliche kriminelle Arbeitsabläufe integriert

• Rückgang traditioneller Carding-Betrugsformen unter regulatorischem und strafrechtlichem Druck

• Größerer Fokus auf die Monetarisierung von Initialzugängen zu Unternehmensnetzwerken

• Zunehmender Identitätsmissbrauch und Ausnutzung von Vertrauen durch Sicherheitslücken bei Drittanbietern, insbesondere in SaaS-Umgebungen

• Wachsende Verbindung ideologischer Motive mit Ransomware- und erpressungsbasierten Geschäftsmodellen

Um Organisationen zu helfen, Sicherheitsinvestitionen und -maßnahmen für 2026 besser zu planen, werden im Folgenden die wichtigsten Entwicklungen von Threat-Intelligence-Team näher erläutert. Dazu gehören der Einsatz von KI, die Ausweitung von Pay-Per-Install (PPI)-Modellen und die zunehmende Rolle von Initial Access Brokers (IABs) bei der Monetarisierung von Unternehmenszugängen.

KI wird in Cybercrime-Aktivitäten integriert

2025 war KI für Cyberkriminelle kein Experiment mehr, sondern Teil ihres Standardbetriebs. Die Forschung von Threat-Intelligence-Team zu EncryptHub, einem einzelnen Cyberkriminellen, zeigte den systematischen Einsatz von ChatGPT als operativen Assistenten. EncryptHub nutzte große Sprachmodelle, um bösartigen Code zu schreiben, darunter Clipper und Cookie-Stealer, Command-and-Control-Server zu konfigurieren, Phishing-Infrastruktur aufzubauen und Telegram-Bots zu automatisieren. Dies rationalisierte mehrere Phasen des Angriffszyklus, von der Entwicklung über die Bereitstellung bis zur laufenden Verwaltung.

KI ersetzt die menschliche Expertise nicht, sondern erweitert die Operationskapazität und erhöht die Skalierbarkeit. Aufgaben, die früher spezialisiertes Wissen oder Teamarbeit erforderten, können nun von einer einzelnen Person ausgeführt werden, wodurch die Einstiegshürde sinkt und die Geschwindigkeit der Cyberkriminalität steigt. Dank KI kann eine einzelne Person Aufgaben erledigen, für die früher ein kleines Team notwendig war.

Durch die Reduzierung der Entwicklungszeit und des Bedarfs an Spezialwissen ermöglicht KI schnellere Iterationen und breitere Beteiligung. Dies steigert sowohl das Volumen als auch das Tempo von Angriffen. Für Verteidiger bedeutet dies weniger Zeit zum Erkennen, Analysieren und Reagieren.

EncryptHub bittet die ChatGPT-KI, Code für Clipper-Malware zu schreiben.

Die Industrialisierung von CaaS

Olymp Loader zeigt, wie CaaS 2025 vom Ad-hoc-Tool zu einem stabilen kommerziellen Angebot wurde. Als Loader und Crypter in reiner Assemblersprache entwickelt, sollte Olymp Loader maschinelles Lernen und heuristische Erkennung umgehen und galt als vollständig unentdeckbar.

Besonders relevant war, wie diese Funktionen bereitgestellt wurden. Statt individuell angepasster Tools war Olymp Loader ein gepflegtes Produkt mit Updates, Preisstufen, Kundensupport und Roadmap. Funktionen wie tiefe XOR-Verschlüsselung, automatisierte Windows Defender-Ausnahmen, aggressive UAC-Flood-Privilegieneskalation und signierte Binärdateien wurden über ein Service-Modell bereitgestellt, nicht individuell von Kunden entwickelt.

Diese Produktisierung veränderte die Verbreitung von Malware-Funktionen innerhalb des Ökosystems. Fortgeschrittene Loader, Crypter und Stealer-Module wurden zu standardisierten Komponenten, die in mehreren Kampagnen wiederverwendet wurden. Dies verringerte Unterschiede zwischen Akteuren und erhöhte die Konsistenz der Tools in der Praxis.

Infolgedessen hängt die Bedrohungslandschaft weniger von der individuellen Expertise einzelner Entwickler ab und wird stärker durch gemeinsame Service-Plattformen geprägt. Die gleichen Tools werden in verschiedenen Angriffsszenarien mehrfach eingesetzt, statt dass für jede Kampagne individuell entwickelte, einzigartige Malware zum Einsatz kommt.

PPI formalisiert Malware-Verteilung

Das Threat-Intelligence-Team untersuchte LabInstalls, einen spezialisierten Vertriebsservice auf PPI-Basis, der Kunden die Massenlieferung von bösartigen Programmen und PowerShell-Skripten gegen Gebühr ermöglichte. Auf diese Weise outsourcten die Kunden die Verteilungsphase an einen Drittanbieter.

LabInstalls fungierte als Broker und trennte dabei die Entwicklung von Malware von deren Lieferung. Installationsprozesse waren automatisiert, sodass Kunden Installationen erwerben konnten, ohne direkt mit Opfern zu interagieren oder die Kontrolle über die Lieferung zu haben. EncryptHub war einer der Kunden, ebenso wie weitere Bedrohungsakteure, was die weitverbreitete Nutzung solcher Dienste im Ökosystem verdeutlicht.

Die Bedeutung von PPI liegt in der Spezialisierung der Aufgaben. Durch die Auslagerung der Verteilung konnten sich Bedrohungsakteure auf die Entwicklung von Payloads, die Monetarisierung von Zugängen oder Aktivitäten nach einem erfolgreichen Angriff konzentrieren, während die Installationsdienste das operationelle Risiko übernahmen. Dieses Modell ähnelt legitimen Software-Vertriebsmodellen und trägt dazu bei, das Cybercrime-Ökosystem modularer und effizienter zu gestalten.

Threat-Intelligence-Team Tweet, der den LabInstalls-PPI-Service hervorhebt.

Der stille Niedergang des traditionellen Carding

Der traditionelle Kreditkartenbetrug ging im Jahr 2025 deutlich zurück. Die Carding-Analyse von Threat-Intelligence-Team bestätigte, dass strengere regulatorische Vorgaben wie PCI DSS, der flächendeckende Einsatz KI-gestützter Betrugserkennung und anhaltender Druck durch Strafverfolgungsbehörden das Ökosystem destabilisierten. Hochkarätige Eingriffe, darunter die Beschlagnahmung von BidenCash und die Festnahme einer bekannten Persönlichkeit aus dem XSS-Forum, führten zu einer weiteren Destabilisierung der Untergrundmärkte.

In der Folge wandten sich fortgeschrittene, finanziell motivierte Akteure verstärkt alternativen Betrugsmodellen zu. Dazu gehörten unter anderem synthetischer Identitätsbetrug, Kontoübernahmen und kryptobasierte Betrugsmaschen. Carding bot nicht länger die erforderliche Zuverlässigkeit und Skalierbarkeit, um dauerhaft kriminelle Einnahmen zu sichern.

Dieser Wandel ist besonders relevant, da sich Finanzkriminalität zunehmend auf Bereiche verlagert, die stärker auf Identitätsmissbrauch und den Missbrauch von Zugängen setzen, anstatt auf den Diebstahl klassischer Zahlungsdaten.

Der Untergrund-Forenuser „albanec“ spricht über die zunehmenden Herausforderungen im Carding.

IABs monetarisieren verwundbare Edge-Geräte

Mit dem Rückgang traditioneller Betrugsmodelle wurde der Zugang selbst zu einer der wertvollsten Ressourcen im Cybercrime. Initial Access Brokers (IABs) nutzten zunehmend verwundbare Edge-Geräte, um Unternehmenszugänge zu erlangen und weiterzuverkaufen. Ein klares Beispiel ist die Belsen Group, die großflächige Kompromittierungen von Fortinet-FortiGate-Geräten ausnutzte, um sich als Broker für hochpreisige Zugänge zu etablieren. Anfang 2025 wechselte die Gruppe von der Veröffentlichung kompromittierter Daten hin zur direkten Monetarisierung von Netzwerkzugängen und bot Unternehmenszugänge für mehrere Tausend Dollar an.

Threat-Intelligence-Team beobachtete, dass die Belsen Group Zugänge aus mehr als 15.000 kompromittierten FortiGate-Geräten verkaufte, darunter hochkarätige Ziele wie große Finanzinstitute und Luftfahrtorganisationen. Die angegebenen Preise erreichten 15.000 US-Dollar pro Zugang, was den Wert solcher fertigen Einstiegsmöglichkeiten in Unternehmensnetzwerke widerspiegelt.

Die Bedeutung dieser Aktivität liegt darin, wie Schwachstellen in der Edge-Infrastruktur in nachgelagerte Angriffsmöglichkeiten umgewandelt werden. Durch den Verkauf von Zugängen, anstatt selbst Folgemaßnahmen auszuführen, verlagern IABs Risiko und Verantwortung auf die Käufer und ermöglichen gleichzeitig Ransomware-Gruppen, Datenerpressern und anderen Akteuren, die technisch anspruchsvollste Phase eines Angriffs zu umgehen.

Zugangsangebote der Belsen Group auf einem Dark-Web-Marktplatz.

Vertrauen wird zur Hauptangriffsfläche

Einige der gravierendsten Vorfälle 2025 basierten nicht auf neuen Exploits oder komplexen Malware-Ketten. Sie nutzten Vertrauensbeziehungen und Schwächen in Identitätskontrollen aus.

Die Scattered LAPSUS$ Hunters Kampagne gegen Salesforce-Daten bei Qantas und Vietnam Airlines zeigte, wie Social Engineering und Identitätsmanipulation technische Schutzmaßnahmen vollständig umgehen können. Die Angreifer verschafften sich Zugriff auf Cloud-Daten und exfiltrierten große Mengen hochgradig nutzbarer persönlicher Informationen.

Datenleck-Website, die Salesforce-Daten von Opfern zum Download bereitstellt.

Geopolitischer Cyberkrieg und Faketivismus

Diese Vorfälle verdeutlichen eine kritische Realität für Organisationen: Die Verantwortung für den Schutz von Daten liegt weiterhin bei ihnen selbst und nicht beim Plattformanbieter. Mit der zunehmenden Verbreitung von SaaS-Umgebungen bestimmen Identität und Vertrauensbeziehungen immer stärker, ob Sicherheitskontrollen wirksam sind oder versagen.

Im Jahr 2025 verschwammen die Grenzen zwischen geopolitischen Konflikten und Cyberkriminalität zunehmend. Cyberoperationen entwickelten sich zu einem festen Instrument staatlicher Auseinandersetzungen und verursachten neben militärischen Maßnahmen auch wirtschaftliche, psychologische und reputationsbezogene Schäden.

Nach den israelischen Angriffen auf iranische Militär- und Nuklearziele im Juni 2025 starteten mehr als 80 überwiegend pro-iranische und pro-palästinensische Hacktivistengruppen koordinierte Kampagnen gegen Israel und seine Verbündeten. Gruppen wie Keymous+, Inteid, Anonymous Kashmir und Mr Hamza Cyber Force kündigten öffentlich Allianzen an, teilten Ressourcen und koordinierten ihre Aktivitäten über Plattformen wie Telegram. Dies zeigte ein deutlich höheres Maß an Organisation als bei früheren Hacktivismus-Wellen.

Gleichzeitig nahm Faketivismus deutlich zu. Gruppen, die unter hacktivistischem Deckmantel auftraten, zeigten zunehmend Verhaltensweisen, die mit staatlichen Zielen übereinstimmten. Akteure wie CyberAv3ngers, Handala und Gonjeshke Darande demonstrierten Fähigkeiten, gezielte Zielauswahl und operative Absichten, die über reine ideologische Störaktionen hinausgingen.

Ein Beispiel ist der Angriff auf die Kryptobörse Nobitex, der der Gruppe Gonjeshke Darande zugeschrieben wird. Dabei wurden Kryptowährungen im Wert von rund 90 Millionen US-Dollar zerstört, indem Gelder auf ungültige Wallets übertragen wurden. Ziel war kein finanzieller Gewinn, sondern eine symbolische Wirkung, wobei die Kryptowährungsinfrastruktur als psychologisches und politisches Schlachtfeld genutzt wurde.

Threat-Intelligence-Team Tweet über den Iran-nahen Bedrohungsakteur Handala, der israelische Organisationen angreift.

Die Verschmelzung von Kriminalität und Ideologie

Hacktivistische Gruppen übernahmen zunehmend profitorientierte Cybercrime-Modelle. Der pro-palästinensische Akteur zerodayx1 startete BQTLock Ransomware-as-a-Service Angebot, das ideologische Botschaften mit abonnementbasierten Erpressungen verband.

BQTLock-Abonnementstufen.

Ähnlich agierte Lionishackers, ein finanziell motivierter Akteur, der Unternehmensdatenbanken exfiltrierte und weiterverkaufte. Seine Aktivitäten konzentrierten sich vor allem auf asiatische Märkte und nutzten Techniken wie SQL-Injection.

Lionishackers war zudem Administrator des Hunt3r Kill3rs Telegram-Kanals und arbeitete bei DDoS-Kampagnen mit. Dies zeigt, dass ideologische Ausrichtung und Profitstreben zunehmend innerhalb derselben Operationen koexistieren.

Lecks bei Black Basta offenbaren menschliche Faktoren

Hinter Service-Modellen, Allianzen und Monetarisierungsstrategien stehen Menschen, interne Dynamiken und operative Schwächen. Ein Leak von 196.000 internen Matrix-Chats von Black Basta im Februar 2025 zeigte, wie die Gruppe arbeitete. Das Kernteam bestand aus fünf bis zehn Mitgliedern, angeführt von „Tramp“ (TA577), mit „Bio“ als langjährigem Stellvertreter für Kryptowährungswäsche, der nach einem Strafverfolgungskontakt ausgeschieden wurde. Ein weiteres Mitglied, „Lapa“, koordinierte Angriffe trotz interner Konflikte, während andere Operatoren mit Qakbot-Aktivitäten verbunden waren.

Die Chats gaben Einblicke in den Alltag der Operationen. Der Verhandler „tinker“ nutzte detaillierte Skripte für gefälschte IT-Support-Anrufe, um Opfer zur Installation von Remote-Monitoring-Software zu bewegen. Die Diskussionen zeigten, dass die Gruppe bereit war, stark in Infrastruktur zu investieren, darunter VPN-Dienste und Ivanti Zero-Day-Exploits.

Selbst gut organisierte Ransomware-Gruppen werden durch menschliche Faktoren begrenzt. Interne Konflikte, Abhängigkeit von wenigen Personen und Disziplinprobleme schaffen Risiken, die keine technische Lösung vollständig ausgleichen kann.

Erkenntnisse aus 2025

Die im Jahr 2025 durchgeführte Forschung liefert mehrere Lehren, die die Notwendigkeit einer proaktiven, auf Bedrohungsinformationen gestützten Sicherheit unterstreichen:

• Grundlegende Sicherheitslücken bleiben entscheidend: Die Untersuchungen zu EncryptHub bestätigten, dass grundlegende Sicherheitskontrollen weiterhin entscheidend sind. Schwache Passwortpraktiken, fehlende Multi-Faktor-Authentifizierung, exponierte Dienste, Fehlkonfigurationen und mangelhafte Zugriffshygiene schaffen die Bedingungen, die Angreifer ausnutzen. Technische Raffinesse ist oft nicht erforderlich, wenn grundlegende Sicherheitsmaßnahmen nicht konsequent umgesetzt werden.

• Kryptowährungsinfrastruktur ist ein strategisches Ziel: Der Angriff auf Nobitex zeigte, dass Kryptowährungsplattformen zunehmend für symbolische und psychologische Angriffe ins Visier genommen werden und nicht nur für finanziellen Diebstahl. Organisationen, die Kryptowährungsinfrastruktur betreiben oder nutzen, müssen sowohl geopolitische Risiken als auch kriminellen Missbrauch berücksichtigen.

• Drittanbieterrisiko liegt in der organisatorischen Verantwortung: Die Salesforce-bezogenen Sicherheitsverletzungen bestätigten, dass die Verantwortung für Daten nicht auf Software-as-a-Service-Anbieter übergeht. Identitätsmissbrauch, Social Engineering und Schwächen auf Kundenseite bleiben häufige Einstiegspunkte, weshalb das Management von Drittanbieterrisiken eine zentrale Sicherheitsanforderung ist.

• Motivation von Bedrohungsakteuren kann nicht vorausgesetzt werden: Die Verbindung von ideologischen Botschaften mit Erpressung und servicebasierten Cybercrime-Modellen macht die Absicht von Angreifern als Risikosignal unzuverlässig. Verteidiger müssen bei der Bewertung von Bedrohungen beobachtetes Verhalten, Fähigkeiten und Zugänge priorisieren, selbst wenn ideologische Aussagen überbetont erscheinen.

Die im Jahr 2025 beobachteten Bedrohungsaktivitäten spiegeln ein Ökosystem wider, das Wiederverwendung, Zugang und Skalierung belohnt. Eine proaktive Verteidigung erfordert das Verständnis dieser Dynamiken, um den tatsächlichen Aufwand für Kompromittierungen von Organisationen richtig einschätzen zu können.

Kontakt zu Outpost24

Wenn Sie verstehen möchten, wie sich diese Trends auf Ihre Organisation auswirken, kontaktieren Sie Outpost24. Dort können Sie erfahren, wie Threat Intelligence Ihre proaktive Sicherheitsstrategie und Verteidigungsprioritäten unterstützt.