Cyberangriffe auf Verteidigungsunternehmen: Wie Geheimdienste und Hacker die Rüstungsindustrie infiltrieren

Die moderne Kriegsführung findet längst nicht mehr nur auf dem Schlachtfeld statt. Server, Lieferketten und Personalcomputer von Verteidigungsunternehmen geraten zunehmend ins Visier staatlich geförderter Hacker und krimineller Gruppen. Die Google Threat Intelligence Group dokumentiert eine Vielzahl von Angriffsmustern, die von der Kompromittierung einzelner Mitarbeiter bis zur systematischen Ausnutzung technischer Schwachstellen reichen.

Russische Operationen: Fokus auf Ukraine-Konflikt und Drohnentechnologie

Russisch verbundene Bedrohungsakteure konzentrieren ihre Cyberaktivitäten auf Unternehmen, die Technologien für den Ukraine-Krieg bereitstellen. Besonders im Fokus stehen dabei Hersteller unbemannter Flugsysteme sowie Firmen, die Schlachtfeldmanagementsysteme entwickeln.

Die als APT44 bekannte Gruppe, die von mehreren Regierungen der GRU-Einheit 74455 zugeordnet wird, versucht systematisch, verschlüsselte Messaging-Anwendungen wie Telegram und Signal zu kompromittieren. Dabei nutzen die Angreifer physischen Zugriff auf erbeutete Geräte, um Daten zu exfiltrieren. Die Windows-Malware WAVESIGN entschlüsselt beispielsweise Daten aus Signal Desktop, während INFAMOUSCHISEL gezielt Informationen von Android-Geräten sammelt.

TEMP.Vermin, eine Gruppe mit Verbindungen zu Sicherheitsbehörden der selbsternannten Volksrepublik Luhansk, setzt Malware wie VERMONSTER und SPECTRUM ein. Die Angreifer verwenden Köderinhalte, die sich mit Drohnenproduktion, Anti-Drohnen-Systemen und Videoüberwachung befassen. Ihre Infrastruktur umfasst Domains, die Telegram imitieren oder sich als indische Luft- und Raumfahrtunternehmen ausgeben.

Die Gruppe UNC5125 führt hochspezialisierte Kampagnen gegen Drohneneinheiten durch. Mit über Google Forms gehosteten Fragebögen, die angeblich von der Drohnen-Ausbildungsakademie Dronarium stammen, sammeln die Angreifer persönliche Informationen von Militärangehörigen. In einem dokumentierten Fall lieferte die Gruppe die Backdoor MESSYFORK an einen ukrainischen UAV-Betreiber.

Kompromittierung sicherer Kommunikation

UNC5792 nutzt die Geräteverknüpfungsfunktion von Signal für ihre Angriffe. Die Gruppe sendet manipulierte Gruppeneinladungsseiten, die zu URLs führen, welche ein vom Angreifer kontrolliertes Gerät mit den Signal-Konten der Zielpersonen verknüpfen. Dadurch können die Angreifer Nachrichten in Echtzeit mitlesen. Ziele sind neben ukrainischen Militär- und Regierungsstellen auch Organisationen in Moldawien, Georgien, Frankreich und den USA.

UNC4221 verwendet ähnliche Taktiken und setzt zusätzlich auf WhatsApp-Phishing, um Geolokalisierungsdaten zu sammeln. Die Gruppe tarnt ihre Angriffe als taktische Schlachtfeld-Apps wie Kropyva, die von ukrainischen Streitkräften für Artillerie-Führung genutzt wird. Die Android-Malware STALECOOKIE, getarnt als Delta-Anwendung für Situationsbewusstsein, stiehlt Browser-Cookies von kompromittierten Geräten.

Einsatz von Large Language Models

Eine neu entdeckte Bedrohungsgruppe mit mutmaßlichen russischen Geheimdienstverbindungen nutzt Large Language Models, um technische Limitierungen zu überwinden. Die Angreifer verwenden LLMs für Aufklärung, Social-Engineering-Köder und zur Beantwortung technischer Fragen bei der Einrichtung ihrer Command-and-Control-Infrastruktur. Die Phishing-E-Mails enthalten von LLM generierte Inhalte mit formeller Sprache und offiziellen Vorlagen sowie Google Drive-Links zu RAR-Archiven mit CANFAIL-Malware.

Personalrekrutierung als Angriffsvektor

Die Ausnutzung von Einstellungsprozessen entwickelt sich zu einem zentralen Angriffsvektor gegen die Verteidigungsindustrie. Von nordkoreanischen IT-Mitarbeitern über gefälschte Rekrutierungsportale bis zu gezielten Angriffen auf private E-Mail-Konten – die Bedrohungslandschaft konzentriert sich verstärkt auf Mitarbeiter.

Nordkoreanische IT-Infiltration

Seit 2019 hat Nordkorea sein Vorgehen von klassischen Netzwerkangriffen auf interne Infiltrationen durch IT-Mitarbeiter ausgeweitet. Diese Entwicklung dient sowohl Spionagezwecken als auch der Umsatzgenerierung für das Regime. Im Juni 2025 gab das US-Justizministerium eine Operation bekannt, bei der 29 vermutete Laptop-Farmen in 16 Bundesstaaten durchsucht wurden. Den Angaben zufolge erhielten die Beschuldigten Fernarbeitsplätze bei über 100 US-Unternehmen, darunter Fortune-500-Firmen. In einem Fall sollen IT-Mitarbeiter sensible Daten von einem kalifornischen Rüstungsunternehmen gestohlen haben, das KI-Technologie entwickelte.

Minh Phuong Ngoc Vong wurde 2025 zu 15 Monaten Haft verurteilt, weil er einen mutmaßlichen nordkoreanischen IT-Mitarbeiter unterstützte. Der nordkoreanische Akteur nutzte Vongs Anmeldedaten, um unter dessen Identität an einem Regierungsauftrag für ein Verteidigungsprogramm zu arbeiten.

Job-Kampagnen als Spionagewerkzeug

Nordkoreanische Cyberspionagegruppen wie APT45, APT43 und UNC2970 nutzen systematisch Social Engineering mit Beschäftigungsbezug. APT45 setzte die Malware SMALLTIGER gegen südkoreanische Verteidigungs-, Halbleiter- und Automobilunternehmen ein, vermutlich um geistiges Eigentum für nordkoreanische Forschungsprogramme zu beschaffen.

UNC2970 verwendet das KI-Modell Gemini, um Open-Source-Informationen zu synthetisieren und hochwertige Ziele zu profilieren. Die Gruppe recherchiert große Cybersicherheits- und Verteidigungsunternehmen, erfasst technische Berufsbilder und Gehaltsinformationen, um maßgeschneiderte Phishing-Personas zu entwickeln.

Iranische Angriffe auf Luft- und Raumfahrt

Iranische Akteure wie UNC1549 und UNC6446 nutzen seit mindestens 2022 gefälschte Jobportale und Anwendungen zur Lebenslauferstellung. UNC1549 hostet gefälschte Stellenbeschreibungen von Luft- und Raumfahrtunternehmen sowie Drohnenherstellern. In einer Kampagne verwendete die Gruppe eine gefälschte Domain für eine asiatische Drohnenkonferenz.

Die Gruppe verschafft sich Zugang durch kompromittierte Drittanbieter-Konten und wechselt von Dienstleistern zu deren Kunden. UNC1549 stiehlt Administrator-Anmeldedaten mit Tools wie CRASHPAD und nutzt legitime Fernzugriffsdienste wie Citrix und VMware.

UNC6446 entwickelt Anwendungen zur Lebenslauferstellung mit Benutzeroberflächen, die für Mitarbeiter spezifischer Luft- und Raumfahrtunternehmen gestaltet sind. Während die Anwendung eine normale Oberfläche zeigt, läuft im Hintergrund Malware zur Systemerkundung.

Gezielte Angriffe auf private E-Mail-Konten

Die chinesische Gruppe APT5 führte 2024 und 2025 Kampagnen gegen aktuelle und ehemalige Mitarbeiter großer Luftfahrt- und Verteidigungsunternehmen durch. Die Angreifer versandten Spearphishing-E-Mails an private E-Mail-Adressen, sorgfältig abgestimmt auf berufliche Rollen, geografische Standorte und persönliche Interessen der Zielpersonen.

Die Köder umfassten Einladungen zu Branchenveranstaltungen wie CANSEC oder MilCIS, Verweise auf Rotes-Kreuz-Schulungen und als Stellenangebote getarnte Phishing-E-Mails. Besonders auffällig waren hochgradig personalisierte Köder: Formulare zur Überprüfung gemeinnützigen Engagements lokaler Schulen, Alumni-Tickets für Minor-League-Baseball-Teams oder gefälschte Briefe an Boy-Scouts-Leitungen, die sich an Mitarbeiter mit ehrenamtlicher Tätigkeit richteten.

Chinesische Cyberspionage: Systematische Ausnutzung von Edge-Geräten

Akteure mit Verbindungen zu China stellen volumenmäßig die aktivste Bedrohung für Verteidigungsunternehmen dar. In den letzten zwei Jahren registrierte die Google Threat Intelligence Group mehr Cyber-Spionagemissionen mit China-Bezug gegen die Verteidigungs- und Luftfahrtindustrie als von allen anderen staatlich geförderten Akteuren.

Zero-Day-Schwachstellen als Eintrittspunkt

Chinesische Cyberspionagegruppen haben seit 2020 mehr als zwei Dutzend Zero-Day-Schwachstellen in Edge-Geräten wie VPNs, Routern und Firewalls von zehn verschiedenen Anbietern ausgenutzt. Diese Geräte, die am Rand eines Netzwerks positioniert sind, unterstützen oft keine EDR-Überwachung, was die Erkennung erschwert.

Gruppen wie UNC4841, UNC3886 und UNC5221 zeigen umfangreiche Bemühungen, ihre Aktivitäten zu verschleiern und langfristigen Zugriff auf Zielumgebungen zu erhalten. UNC3886 gilt als eine der fähigsten chinesischen Bedrohungsgruppen und hat 17 verschiedene Malware-Familien bei Operationen gegen Verteidigungs- und Luftfahrtziele eingesetzt. Der Schwerpunkt der frühen Operationen 2022 lag eindeutig auf diesem Sektor.

BRICKSTORM-Kampagne mit langer Verweildauer

UNC5221 konzentriert sich auf die Kompromittierung von Perimetergeräten wie VPN-Appliances und Firewalls, um herkömmliche Endpunktdetektionssysteme zu umgehen. Die 2025 aufgedeckte BRICKSTORM-Malware-Kampagne, vermutlich von UNC5221 durchgeführt, zeichnete sich durch eine durchschnittliche Verweildauer von 393 Tagen aus. Betroffene Organisationen stammten unter anderem aus der Luft- und Raumfahrt sowie der Verteidigungsindustrie.

Die Gruppe priorisiert selektiv Unternehmen, die als Informationsmultiplikatoren dienen: Managed Service Provider, Anwaltskanzleien und zentrale Knotenpunkte in der globalen Technologie-Lieferkette.

Aufklärung militärischer Infrastruktur

UNC3236, verbunden mit Volt Typhoon, führte 2024 Aufklärungsaktivitäten gegen öffentlich gehostete Login-Portale nordamerikanischer Militär- und Verteidigungsunternehmen durch. Die Aktivitäten nutzten das ARCMAZE-Verschleierungsnetzwerk und umfassten Drupal-Web-Login-Portale von Verteidigungsunternehmen, die an US-Militärinfrastrukturprojekten beteiligt sind.

E-Mail-Abfang mit spezifischen Suchbegriffen

UNC6508 griff Ende 2023 eine US-Forschungseinrichtung mit einem REDCap-Exploit und der Malware INFINITERED an. Diese ist in eine trojanisierte Version einer legitimen REDCap-Systemdatei eingebettet und fungiert als rekursiver Dropper, der dauerhaften Fernzugriff ermöglicht.

Die Angreifer nutzten gestohlene Anmeldedaten, um E-Mail-Filterregeln zu manipulieren. Sie änderten eine Regel so, dass eine von ihnen kontrollierte E-Mail-Adresse automatisch in BCC gesetzt wurde, wenn einer von 150 definierten Suchbegriffen im Text oder Betreff vorkam. Etwa ein Drittel der Schlüsselwörter bezog sich auf militärische Systeme oder Rüstungsunternehmen, wobei ein erheblicher Teil mit unbemannten Flugsystemen oder Counter-UAS-Systemen verbunden war.

Ransomware und Hacktivismus gegen die Fertigungsindustrie

Erpressungsoperationen stellen weltweit die bedrohlichste Form der Cyberkriminalität dar. Während spezialisierte Verteidigungs- und Luftfahrtunternehmen nur etwa 1 Prozent der Opfer auf Datenleck-Websites ausmachen, bilden Fertigungsunternehmen durchweg den größten Anteil der Einträge.

Risiko für die Verteidigungslieferkette

Zum breiteren Fertigungssektor gehören zahlreiche Unternehmen, die Dual-Use-Komponenten für Verteidigungsanwendungen liefern. Ein bedeutender Ransomware-Vorfall 2025 gegen einen britischen Automobilhersteller, der auch Militärfahrzeuge produziert, führte zu wochenlanger Produktionsunterbrechung und betraf über 5.000 weitere Unternehmen. Dies verdeutlicht das Cyberrisiko für die gesamte industrielle Lieferkette und die Fähigkeit, in Kriegszeiten die Produktion von Verteidigungskomponenten zu steigern.

Bedrohungsakteure tauschen regelmäßig Informationen über illegalen Zugriff auf Organisationen des Luftfahrt- und Verteidigungssektors aus. Der Akteur „miyako“ warb in mehreren Untergrundforen für Zugriff auf mehrere Verteidigungsunternehmen. Der BreachForums-Akteur „USDoD“ teilte regelmäßig angeblich von prominenten Verteidigungsorganisationen gestohlene Daten. Im Oktober 2024 verhafteten brasilianische Behörden eine Person, die beschuldigt wurde, USDoD zu sein.

Pro-russische Hacktivisten-Operationen

Pro-russische Hacktivisten konzentrieren einen erheblichen Teil ihrer Aktivitäten auf Einrichtungen, die mit dem ukrainischen Militär und westlichen Verteidigungssektoren verbunden sind. NoName057(16) nutzt DDoS-Angriffe in großem Umfang gegen staatliche und private Verteidigungsorganisationen.

PalachPro behauptete im November 2025, mehrere italienische Verteidigungsunternehmen angegriffen und sensible Daten exfiltriert zu haben – in mindestens einem Fall wollte die Gruppe diese Daten verkaufen. Die Gruppe Infrastructure Destruction Squad gab einen erfolglosen Angriff auf einen großen US-Waffenhersteller an.

Beregini und JokerDNR verbreiten kontinuierlich Dokumente, die angeblich mit der Verwaltung des ukrainischen Militärs, der Koordination mit ausländischen Partnern und gelieferten Waffensystemen in Zusammenhang stehen. Beide Gruppen nutzen diese Aktivitäten zur Verbreitung anti-ukrainischer Narrative.

Die Gruppe KillNet widmete Ende 2025 erhebliche Aktivitäten dem Thema Drohnen. Nach ihrer Wiederbelebung im Juni beanspruchte die Gruppe einen Angriff, der angeblich die ukrainische Luftraumüberwachung beeinträchtigt hat. Im Dezember kündigte KillNet eine multifunktionale Plattform an, die auf Basis kompromittierter Daten die Kartierung ukrainischer Drohnenproduktionsstätten ermöglichen soll.

Pro-iranische Hacktivismus-Kampagnen

Pro-iranische Hacktivisten-Aktivitäten gegen den Verteidigungssektor haben seit Oktober 2023 erheblich zugenommen. Gruppen wie Handala Hack, Cyber Toufan und die Cyber Isnaad Front kompromittieren israelische Hersteller, Logistikdienstleister und Technologieunternehmen, um militärische Pläne, Personaldaten und Verträge offenzulegen.

Handala Hack, die laut Analyse Bedrohungsaktivitäten von UNC5203 veröffentlicht, startete zum zweiten Jahrestag des 7. Oktober die Website „Handala RedWanted“. Diese konzertierte Doxxing-Kampagne richtet sich gegen Mitglieder der israelischen Streitkräfte, des Geheimdienstes und Personen, die nach Angaben der Gruppe den militärisch-industriellen Komplex Israels bilden.

Cyber Toufan nutzt einen Telegram-Kanal namens ILDefenseLeaks für Operationen gegen israelische Rüstungsunternehmen. Die Gruppe behauptet, durch Kompromittierung eines israelischen Rüstungsunternehmens Zugriff auf mindestens 17 weitere Firmen erlangt zu haben. Die Cyber Isnaad Front veröffentlichte in diesem Zusammenhang Informationen über australische Pläne zum Kauf von Spike-NLOS-Panzerabwehrraketen aus Israel.

Fazit: Vielschichtige Bedrohungslage erfordert proaktive Strategien

Die industrielle Basis der Verteidigungsindustrie sieht sich einer konstanten, mehrschichtigen Bedrohung gegenüber. Von russischen Kampagnen gegen Rüstungsunternehmen in der Ukraine über die systematische Ausnutzung von Personalprozessen bis zur anhaltenden Aktivität chinesischer Akteure und Hacktivismus-Operationen – die Angriffsvektoren sind vielfältig.

Die Trends zeigen eine Verschiebung zu Taktiken, die traditionelle Erkennungsstrategien umgehen: Einzelne Endpunkte und Personen werden gezielt kompromittiert, Angriffe finden außerhalb der Sichtbarkeit von Unternehmenssicherheitssystemen statt. Die Konzentration auf autonome Fahrzeuge und Drohnentechnologie spiegelt deren wachsende Bedeutung in der modernen Kriegsführung wider.

Um ihren Wettbewerbsvorteil zu erhalten, müssen Verteidigungsunternehmen über reaktive Maßnahmen hinausgehen. Die Integration aktueller Bedrohungsinformationen in proaktive Suchstrategien und resiliente Architekturen wird zunehmend erforderlich, damit die Systeme, die nationale Sicherheit gewährleisten sollen, nicht kompromittiert werden, bevor sie zum Einsatz kommen.

Auch spannend:

---