Vier Nationalstaaten, vier Angriffsvektoren: Die Bedrohungslage im April 2026

Vier Nationalstaaten. Vier Angriffsvektoren. Eine Erkenntnis: Die aktuelle Bedrohungslage wird nicht von Einzeltätern oder opportunistischen Kriminellen dominiert — sondern von staatlich gesteuerten oder staatlich geduldeten Operationen, die IT, OT und Software-Lieferketten gleichzeitig ins Visier nehmen.

Im April 2026 sind vier Kampagnen gleichzeitig aktiv, die das gesamte Spektrum moderner Cyberbedrohungen abdecken: Iran manipuliert Industriesteuerungen in US-Infrastruktur. Russlands APT28 setzt neue Malware gegen die Ukraine und NATO-Verbündete ein. Eine chinesische Gruppe nutzt Zero-Days für Ransomware-Angriffe mit 24-Stunden-Durchlaufzeit. Und Nordkorea vergiftet systematisch Open-Source-Paketmanager — über fünf Ökosysteme hinweg.

Jede dieser Kampagnen wäre für sich eine Schlagzeile wert. Zusammen zeigen sie ein Muster, das Unternehmen und Behörden zwingen sollte, ihre Sicherheitsarchitektur grundlegend zu überdenken.

Iran: 5.219 Rockwell-PLCs offen im Netz

Am 7. April veröffentlichten FBI, CISA, NSA und U.S. Cyber Command das gemeinsame Advisory AA26-097A: Iranische APT-Akteure der Gruppe CyberAv3ngers — mit Verbindungen zum IRGC Cyber Electronic Command — greifen aktiv internet-exponierte Rockwell-Automation-PLCs an. Der Angriffsvektor ist dabei bemerkenswert primitiv: keine Zero-Days, keine Malware, sondern legitime Rockwell-Engineering-Software (Studio 5000 Logix Designer), mit der sich die Angreifer direkt auf ungeschützte Steuerungen verbinden.

Censys-Telemetriedaten zeigen 5.219 exponierte Hosts auf EtherNet/IP (Port 44818), davon 74,6 Prozent in den USA. Zwei Drittel hängen an Mobilfunknetzen — Pumpstationen, kommunale Außenstandorte, Feldgeräte ohne VPN oder Firewall. Die Angreifer manipulieren Projektdateien und HMI/SCADA-Displays: Operatoren in der Leitwarte sehen Werte, die nicht der Realität entsprechen.

Dieselbe Gruppe kompromittierte bereits 2023 mindestens 75 Unitronics-PLCs in US-Wasserwerken. Dass sie drei Jahre später mit derselben Taktik weiterhin Erfolg hat, ist weniger ein Beleg für die Raffinesse des Angreifers als für den Zustand der OT-Verteidigung.

Unsere ausführliche Analyse mit IOCs und Sofortmaßnahmen: 5.219 Rockwell-PLCs offen im Netz: Iran greift an

Russland: APT28 setzt PRISMEX gegen Ukraine und NATO ein

APT28 (auch bekannt als Fancy Bear, Forest Blizzard, Pawn Storm, UAC-0001) — die Cyber-Einheit des russischen Militärgeheimdienstes GRU (Unit 26165) — führt seit September 2025 eine Kampagne mit einer neuen Malware-Suite namens PRISMEX durch. Das belegt ein aktueller technischer Report von Trend Micro (Forscher: Feike Hacquebord und Hiroyuki Kakara).

PRISMEX ist keine einzelne Malware, sondern ein modulares Toolkit aus drei Komponenten: PrismexDrop (ein nativer Dropper, der Persistenz über COM Hijacking etabliert), PrismexLoader (eine DLL, die Payloads mittels Steganografie aus Bilddateien extrahiert) und PrismexStager (ein Implant auf Basis des Open-Source-C2-Frameworks COVENANT, das den Cloud-Speicherdienst Filen.io für die Kommando-und-Kontroll-Kommunikation missbraucht).

Die Kampagne nutzt zwei Schwachstellen als Einstiegsvektor: CVE-2026-21509 und CVE-2026-21513. Besonders beunruhigend: Trend Micro identifizierte einen LNK-Exploit für CVE-2026-21513, der am 30. Januar 2026 auf VirusTotal hochgeladen wurde — elf Tage bevor Microsoft am 10. Februar den Patch veröffentlichte. Das bestätigt Zero-Day-Exploitation in freier Wildbahn.

Die Ziele sind strategisch gewählt: Zentrale Exekutivorgane, Verteidigung, Hydrometeorologie und Notdienste in der Ukraine; Schienenlogistik in Polen; Seetransport in Rumänien, Slowenien und der Türkei; Logistikpartner für Munitionsinitiativen in der Slowakei und Tschechien; sowie militärische NATO-Partner. Die strategische Fokussierung auf Lieferketten, Wetterdienste und humanitäre Korridore deutet auf eine Verschiebung hin zu operativer Disruption — möglicherweise als Vorstufe destruktiverer Aktionen.

Denn PRISMEX kann mehr als Spionage: In mindestens einem beobachteten Fall löschte die Malware Dateien vom System des Opfers. APT28 kann also jederzeit von Aufklärung auf Zerstörung umschalten — ein Wiper-Modus, der die Kampagne über klassische Spionage hinaus gefährlich macht.

China: Storm-1175 nutzt Zero-Days für Medusa-Ransomware

Die chinesische Gruppe Storm-1175 hat eine neue Eskalationsstufe erreicht. Laut einem Blogpost des Microsoft Threat Intelligence Teams vom 6. April 2026 nutzt die Gruppe eine Kombination aus Zero-Day- und N-Day-Schwachstellen, um Medusa-Ransomware mit extremer Geschwindigkeit in Zielnetzwerke zu bringen — in manchen Fällen innerhalb von 24 Stunden vom Initial Access bis zur Verschlüsselung.

Microsoft beschreibt Storm-1175 als finanziell motivierte Cybercrime-Gruppe mit China-Bezug — nicht als klassischen Spionage-APT. Seit 2023 hat die Gruppe mehr als 16 Schwachstellen ausgenutzt. Zu den bestätigten Zero-Days gehören CVE-2026-23760 (eine kritische Authentication-Bypass-Schwachstelle in SmarterMail, ausgenutzt eine Woche vor der öffentlichen Bekanntgabe) und CVE-2025-10035 (eine Maximum-Severity-Schwachstelle in GoAnywhere Managed File Transfer, ebenfalls eine Woche vor Disclosure). Weitere ausgenutzte Schwachstellen umfassen CVE-2026-1731 (BeyondTrust), CVE-2025-31161 (CrushFTP) und CVE-2025-52691 (SmarterMail).

Der Kill Chain ist hocheffizient: Nach dem Initial Access erstellt Storm-1175 neue Benutzerkonten, deployed Web Shells oder legitime RMM-Software (Remote Monitoring and Management) für Lateral Movement, stiehlt Credentials und deaktiviert Sicherheitslösungen — bevor die Medusa-Ransomware ausgerollt wird. Die betroffenen Sektoren: Gesundheitswesen, Bildung, professionelle Dienstleistungen und Finanzwesen in Australien, Großbritannien und den USA.

Dass eine chinesische Gruppe Ransomware einsetzt, war bis vor kurzem ungewöhnlich — Ransomware galt als Domäne russischer und nordkoreanischer Akteure. Ob Storm-1175 rein finanziell motiviert ist oder ob die Ransomware auch als Deckmantel für Datenexfiltration dient, bleibt eine offene Frage. Für die betroffenen Unternehmen ist die Unterscheidung allerdings akademisch: Der Schaden ist derselbe.

Nordkorea: 1.700 verseuchte Pakete in npm, PyPI, Go, Rust und PHP

Die nordkoreanische Kampagne Contagious Interview hat ihre Reichweite massiv ausgebaut. Laut einem aktuellen Report des Sicherheitsunternehmens Socket wurden seit Januar 2025 mehr als 1.700 schadhaft präparierte Pakete über fünf Ökosysteme verbreitet: npm, PyPI, Go, Rust und PHP (Packagist). Die Pakete imitieren legitime Entwickler-Tools und fungieren als Malware-Loader.

Die Kampagne wird der Gruppe UNC1069 zugeordnet — die auch hinter dem Axios-Supply-Chain-Angriff vom 31. März 2026 steht. UNC1069 überlappt mit bekannten nordkoreanischen Gruppen wie BlueNoroff, Sapphire Sleet und Stardust Chollima. Die Security Alliance (SEAL) berichtet, zwischen dem 6. Februar und dem 7. April 2026 insgesamt 164 UNC1069-Domains blockiert zu haben, die Dienste wie Microsoft Teams und Zoom imitierten.

Der Angriffsvektor kombiniert Supply-Chain-Kompromittierung mit Social Engineering: UNC1069 führt über Wochen niedrigschwellige Social-Engineering-Kampagnen auf Telegram, LinkedIn und Slack, gibt sich als bekannte Kontakte oder vertrauenswürdige Marken aus und nutzt dabei Zugang zu bereits kompromittierten Unternehmens- und Privataccounts. Das Ziel: gefälschte Zoom- oder Teams-Meeting-Links, die über ClickFix-ähnliche Köder Malware ausliefern — plattformübergreifend für Windows, macOS und Linux.

Die Skalierung ist alarmierend: 1.700 Pakete über fünf Ökosysteme deuten auf eine industrialisierte Operation hin. Besonders brisant ist die Ausweitung auf Go und Rust — Sprachen, die zunehmend in sicherheitskritischen Anwendungen, Infrastrukturtools und Cloud-nativen Systemen eingesetzt werden. Bei der Axios-Kompromittierung setzte dieselbe Gruppe das Implant WAVESHAPER.V2 ein — einen plattformübergreifenden RAT, der Credentials exfiltriert und Fernzugriff ermöglicht.

Das Muster: Was die vier Kampagnen verbindet

Isoliert betrachtet sind das vier verschiedene Angriffe mit unterschiedlichen Akteuren, Zielen und Methoden. Zusammen zeigen sie ein Bild, das für die strategische Sicherheitsplanung relevant ist:

Die Angriffsvektoren decken das gesamte Spektrum ab. OT-Systeme (Iran), klassische IT-Infrastruktur und Endpoints (Russland), internetexponierte Dienste via Zero-Day-Exploitation (China), Software-Lieferkette (Nordkorea). Es gibt keinen einzelnen Kontrollpunkt mehr, der ausreicht. Wer nur seine Endpoints schützt, ist über die Lieferkette verwundbar. Wer nur seine IT überwacht, ist über OT exponiert.

Die Grenzen zwischen Spionage, Sabotage und Kriminalität lösen sich auf. Eine chinesische Gruppe setzt Ransomware ein. Nordkorea monetarisiert Supply-Chain-Angriffe. Iran manipuliert physische Infrastruktur. Russlands PRISMEX kann von Spionage auf Zerstörung umschalten — Wiper inklusive. Die traditionellen Schubladen — APT vs. Cybercrime, IT vs. OT, Spionage vs. Sabotage — greifen nicht mehr.

Geschwindigkeit ist der gemeinsame Nenner. APT28 nutzt Zero-Days elf Tage vor dem Patch. Storm-1175 verschlüsselt innerhalb von 24 Stunden nach Initial Access. CyberAv3ngers brauchen nur eine Internetverbindung und die offizielle Herstellersoftware. UNC1069 vergiftet Paketmanager, die bei jedem npm install ausgeführt werden. Alle vier Kampagnen setzen darauf, schneller zu sein als die Verteidigung.

Jede der vier Kampagnen nutzt Schwachstellen, die vermeidbar gewesen wären. Offene PLCs im Internet. Ungepatchte Zero-Days in internet-exponierten Diensten. Lockfiles, die nicht genutzt werden. Fehlende Endpoint-Erkennung für bekannte APT-Toolkits. Keiner dieser Angriffe erfordert übermenschliche Fähigkeiten auf Angreiferseite — sie erfordern nur unzureichende Verteidigung.

Was Unternehmen jetzt tun müssen

IT und OT gemeinsam überwachen. Wer seine Industriesteuerungen in einem separaten Sicherheitsuniversum belassen hat, wird von Angriffen wie dem iranischen PLC-Targeting kalt erwischt. IT- und OT-Monitoring gehören in eine Plattform.

Threat Intelligence operativ nutzen. Die IOCs und TTPs dieser vier Kampagnen müssen in Detection-Regeln übersetzt werden — nicht als Bericht im Posteingang, sondern als aktive Regeln im SIEM. MITRE ATT&CK-Mapping ist der Standard dafür.

Software-Lieferkette absichern. Lockfiles konsequent einsetzen. npm ci --ignore-scripts in CI/CD-Pipelines. SBOM-Management für alle eingesetzten Open-Source-Komponenten. Dependency-Monitoring ist nicht optional, wenn staatliche Akteure systematisch Paketmanager vergiften.

Patch-Management beschleunigen. Monatliche Patch-Zyklen reichen nicht mehr, wenn Storm-1175 Schwachstellen eine Woche vor der Veröffentlichung ausnutzt und innerhalb von 24 Stunden Ransomware deployt. Risikobasierte, automatisierte Priorisierung ist Pflicht — insbesondere für internet-exponierte Dienste wie SmarterMail, GoAnywhere MFT, CrushFTP und BeyondTrust.

NIS-2 als Rahmen ernst nehmen. NIS-2 verlangt Risikomanagement für die gesamte Lieferkette (Art. 21), Incident-Reporting innerhalb von 24/72 Stunden und technische Maßnahmen zur Angriffserkennung. Alle vier beschriebenen Kampagnen treffen genau die Bereiche, die NIS-2 adressiert. Compliance ist hier keine Bürokratieübung — sie ist die Mindestanforderung.

Einordnung

April 2026 ist kein ungewöhnlicher Monat. Diese Kampagnen sind nicht die Ausnahme — sie sind der Normalzustand. Vier Akteure aus vier Ländern betreiben gleichzeitig offensive Cyberoperationen gegen die Infrastruktur, die Software und die Organisationen, auf die unsere Wirtschaft und Gesellschaft angewiesen sind.

Die Verteidigung muss mit dieser Realität Schritt halten. Nicht mit einzelnen Tools für einzelne Bedrohungen, sondern mit einer integrierten Sicherheitsarchitektur, die IT, OT und Lieferkette gemeinsam abdeckt. Wer das nicht hat, operiert mit einer Verteidigung, die für eine Bedrohungslage konzipiert wurde, die es nicht mehr gibt.