Chinesische Cyberspionage-Aktivitäten sind um 150 Prozent gestiegen – mit immer aggressiveren Taktiken. Das zeigt der Global Threat Report 2025, den das Cybersecurity-Unternehmen Crowdstrike veröffentlicht hat. Der Bericht analysiert aktuelle Bedrohungstrends und macht deutlich, dass insbesondere staatlich unterstützte Hackergruppen sowie KI-basierte Social-Engineering-Angriffe eine wachsende Gefahr darstellen.

Laut den Untersuchungen von Crowdstrike verzeichneten chinesische Hackergruppen einen deutlichen Anstieg ihrer Aktivitäten: Die Cyberspionage nahm insgesamt um 150 Prozent zu, wobei vor allem Medien, Finanzdienstleistungen sowie Fertigung und Industrie ins Visier genommen wurden. In diesen Branchen stieg die Zahl der gezielten Angriffe sogar um 300 Prozent. Zudem wurden sieben neue Hackergruppen identifiziert, die mutmaßlich mit China in Verbindung stehen.

Auch der Iran setzt verstärkt auf Cyberkriminalität im staatlichen Auftrag: Dem Bericht zufolge nutzen iranische Akteur:innen zunehmend generative KI, um Schwachstellen in Netzwerken zu identifizieren, Exploits zu entwickeln und Patches für eigene Systeme zu erstellen. Diese Aktivitäten scheinen in direktem Zusammenhang mit staatlichen KI-Förderprogrammen zu erfolgen.

Gleichzeitig nehmen Insiderbedrohungen weiter zu. Der Angreifer Famous Chollima, der mit der nordkoreanischen Regierung in Verbindung gebracht wird, war laut Bericht im Jahr 2024 für 304 dokumentierte Angriffe verantwortlich. In 40 Prozent der Fälle handelte es sich um Insider-Attacken, bei denen sich Cyberkriminelle als legitime Mitarbeiter:innen tarnten, um Zugang zu internen Systemen zu erhalten und gezielte Sabotageakte durchzuführen.

Generative KI hat Social-Engineering-Angriffe im vergangenen Jahr massiv verstärkt. Zwischen dem ersten und zweiten Halbjahr 2024 stieg die Zahl von KI-gestützten Phishing- und Imitationstaktiken rasant an. Besonders drastisch zeigt sich dieser Trend beim Voice Phishing (Vishing), das laut Crowdstrike um 442 Prozent zugenommen hat. Cyberkriminelle Gruppen wie Curly Spider nutzen zunehmend täuschend echte Deepfake-Stimmen und KI-generierte Texte, um unentdeckt Zugangsdaten zu stehlen. Auch nicht gepatchte Schwachstellen stehen weiterhin im Fokus der Angreifer: Laut des Reports wurden 52 Prozent aller analysierten Sicherheitslücken gezielt für den Erstzugriff genutzt.

Besonders alarmierend ist der wachsende Trend zu malwarefreien Angriffen, die sich auf gestohlene Identitätsdaten stützen. Bereits 79 Prozent der Erstzugriffe erfolgen ohne klassische Malware, da Angreifer:innen verstärkt auf kompromittierte Zugangsdaten setzen, um sich unbemerkt als legitime Benutzer:innen auszugeben. Nur wenig überraschend ist vor diesem Hintergrund die Tatsache, dass im Vergleich zum Vorjahr die Inserate gestohlener Zugangsdaten um 50 Prozent zunahmen.

Im Rahmen der Analyse hat Crowdstrike mehr als 250 gegnerische Akteur:innen und 140 neue Aktivitätscluster erfasst. Neben der steigenden Bedrohung ist auch drastische Verkürzung der sogenannten Breakout-Time ein großes Problem für IT-Sicherheitsteams. Die Zeit, die Angreifer:innen benötigen, um sich nach einem Erstzugriff im Netzwerk auszubreiten, betrug im Schnitt 48 Minuten, während der schnellste dokumentierte Angriff nur 51 Sekunden dauerte. Sicherheitsexpert:innen haben also immer weniger Zeit, um Bedrohungen rechtzeitig zu identifizieren und zu stoppen.