Die 10 gefährlichsten Hackergruppen und ihre Taktiken
Ein Blick auf die derzeit gefährlichsten Cybercrime-Akteure zeigt, dass sich die Szene in einem strukturellen Wandel befindet. Neue und teils hoch spezialisierte Akteure nutzen die Möglichkeiten der KI, um zunehmend über Lieferketten anzugreifen und damit zugleich die Erfolgsaussichten ihrer Angriffe und die Zahl der potenziellen Opfer zu erhöhen.
Während KI gerade erst am Anfang steht, die Unternehmenswelt zu erobern, ist sie im Bereich der Cyberkriminalität längst tief verankert und hat dort eine Transformation der Akteure, Arbeitsweisen und Bedrohungen angeschoben. Besonders besorgniserregend ist der zunehmende Fokus einiger Bedrohungsakteure auf Lieferketten, die dem Report zufolge derzeit die am stärksten ausgenutzte Angriffsfläche sind. Statt ihre Opfer einzeln und direkt anzugreifen, zielen die Cyberkriminellen auf die von ihnen genutzten vertrauenswürdigen Infrastrukturen und Drittanbieter-Ökosysteme. So können sie auf einen Schlag deutlich mehr Organisationen und teils sogar ganze Branchen angreifen und ihre Schadenswirkung maximieren, während das Erkennungsfenster für die Verteidiger durch die Gleichzeitigkeit der Angriffe deutlich kürzer wird.
"Die Lieferkette ist zum stärksten Multiplikator der Cyberkriminalität geworden", konstatiert Group-IB-CEO Dmitry Volkov. Der Cybersecurity-Anbieter hat durch sein um Vorhersage-Knowhow angereicherten Security-Technologien und die enge Zusammenarbeit mit Strafverfolgungsbehörden wie INTERPOL, Europol und lokalen Einrichtungen einen besonders guten Überblick über die aktuellen Entwicklungen der Szene. "Was unsere Ermittler im vergangenen Jahr in mehr als 1.550 Fällen dokumentiert haben, zeigt: Angriffe richten sich nicht mehr isoliert gegen einzelne Opfer. Sie verankern sich in vertrauenswürdigen Infrastrukturen und Drittanbieter-Ökosystemen, um sich gleichzeitig über ganze Branchen auszubreiten."
Eine weitere Veränderung betrifft die Strukturen. Wo früher feste, meist auch regional zusammenhängende Gruppen dominierten, operieren heute zunehmend dezentrale Kollektive, die teils mit staatlicher Unterstützung agieren, sich oft hochgradig spezialisiert haben und ihr Knowhow sowie ihre Tools auch anderen vermieten. So dominiert laut dem aktuellen High-Tech Crime Trend Report 2026 von Group-IB etwa eine einzelne Plattform fast 90 Prozent des Phishing-as-a-Service-Markts über Adversary-in-the-Middle-Angriffe (AiTM), mit denen Sicherungsmethoden wie die Zwei-Faktor-Authentifizierung (MFA) ausgehebelt werden kann. Beinahe die Hälfte aller Diebstähle von Zugangsdaten fällt dem Bericht zufolge auf sie zurück. Eine andere ermöglicht es Betrügern, mit gestohlenen Kartendaten "Tap-to-Pay"-Transaktionen an physischen Kassenterminals weltweit durchzuführen, ohne dass der Händler oder der Karteninhaber etwas davon bemerken. "Ein einzelner Kompromittierungspunkt erreichte in einer von uns verfolgten Operation mehr als 130 Organisationen", fasst Volkov zusammen. "Gleichzeitig verringert die Kommerzialisierung von Angriffsinfrastrukturen – Phishing-Plattformen mit 89 Prozent Marktanteil, NFC-Betrug im Abonnement – schnell die Fähigkeitslücke zwischen hochentwickelten und weniger versierten Bedrohungsakteuren."
Um Sicherheitsverantwortlichen einen besseren Überblick über diese Entwicklungen und die dahinterstehenden neuen Akteure, ihre Methoden und Ziele zu verschaffen, hat Group-IB auf Basis seiner Daten jetzt eine Liste der 10 gefährlichsten und größten Bedrohungsakteure (Masked Actors) und ihrer typischen Ziele und Arbeitsweisen erstellt. Die Bewertung stützt sich dabei auf die sechs Dimensionen finanzieller Schaden, Opferzahl, Umfang der Bedrohungen während der aktiven Lebensdauer, Neuartigkeit der technischen Weiterentwicklung, Wachstum des Partner- beziehungsweise Affiliate-Ökosystems und Bekanntheitsgrad.
Die Top 10 Cyberbedrohungsakteure und Masked Actors 2026:
1. Scattered Spider
Scattered Spider war im vergangenen Jahr gleich für mehrere der aufsehenerregendsten Angriffe wie etwa die Attacke auf die MGM Resorts verantwortlich und hat es damit selbst in der Öffentlichkeit zu weltweiter Bekanntheit gebracht. Security-Fachleuten bereitet vor allem die schlagkräftige Kombination aus ausgefeilter Social-Engineering-Kompetenz und beispielloser operativer Skalierung Sorgen. Zumal die Gruppe gerne mit anderen Akteuren kooperiert, insbesondere aus dem Ransomware-Umfeld. Wozu das führen kann, zeigte beispielhaft ein einzelner Lieferketten-Angriff, mit dem die dezentrale, englischsprachig organisierte Gruppe mehr als 130 Unternehmen aus dem Technologiesektor kompromittierte, über die sie teils Zugang zu weiteren Opfern erlangen konnte. Damit erreichen solche Angriffe Dimensionen, die mit klassischer organisierter Kriminalität vergleichbar sind.
2. Lazarus
Lazarus ist ein hochentwickelter, staatlich verbundener Bedrohungsakteur, der Cyberspionage mit Finanzkriminalität in großem Maßstab verbindet. Die hohe Platzierung der Gruppe resultiert vor allem aus dem enormen finanziellen Schaden, den sie verursacht hat. Allein im Jahr 2025 stahl Lazarus den Experten zufolge mehr als zwei Milliarden US-Dollar in Kryptowährungen, seit Bestehen der Gruppe sollen es insgesamt mehr als 6,5 Milliarden US-Dollar gewesen sein. Damit ist Lazarus im finanziellen Bereich einer der zerstörerischsten dokumentierten Bedrohungsakteure.
3. MuddyWater
Bei Muddy Water handelt es sich um eine weitere staatlich ausgerichtete Cyberspionagegruppe. Ihre weltweiten Kampagnen richten sich vor allem gegen Behörden sowie Unternehmen aus Finanzdienstleistungen und Logistik. Dabei lässt das enorme operative Tempo vermuten, dass die Gruppe besonders stark die Fähigkeiten der KI zur Weiter- und Neuentwicklung von Schadsoftware nutzt. So tauchten rund um den Jahreswechsel innerhalb von etwas mehr vier Monaten drei neue Malware-Varianten auf, die alle Muddy Water zugeschrieben werden. Eine enorme Entwicklungsgeschwindigkeit, auf die sich Verteidiger entsprechend einstellen müssen.
4. Tycoon 2FA
Als dominierende Kraft im Bereich Phishing-as-a-Service (PhaaS) kontrolliert Tycoon 2FA 89 Prozent des Marktes für Adversary-in-the-Middle-PhaaS-Angebote. Mit ihrem SaaS-Abonnementmodell hat die Gruppe den Diebstahl von Unternehmenszugangsdaten im großen Maßstab kommerzialisiert. Dadurch werden weltweit tausende Angriffe auf Cloud-Umgebungen ermöglicht und die Einstiegshürde für technisch weniger versierte Akteure gesenkt, um wirkungsvolle Kampagnen durchzuführen.
5. GoldFactory
Die 2024 erstmals von Group-IB identifizierte GoldFactory ist ein technisch fortgeschrittener Bedrohungscluster mit einer besonderen Fähigkeit: dem Diebstahl biometrischer Daten, um Gesichtserkennung bei Mobile-Banking-Betrug zu umgehen. Mit 15 Infektionen pro Tag in aktiven Kampagnen beginnt die Gruppe, ihren ursprünglichen Fokus auf den asiatisch-pazifischen Raum auszuweiten. Neue spanischsprachige Code-Artefakte deuten auf eine gezielte geografische Expansion hin.
6. TX-NFC
TX-NFC ist ein kommerzialisiertes Ökosystem, das kontaktlose Zahlungssysteme auf Geräten von Betrügern emuliert und als Abonnement angeboten wird – von 45 US-Dollar pro Tag bis zu 1.050 US-Dollar für drei Monate. Mit der weltweiten Verbreitung kontaktloser Zahlungen wächst auch die verfügbare Angriffsfläche für TX-NFC. Die Gruppe expandiert in englisch- und russischsprachige Cybercrime-Ökosysteme.
7. Shadow Silk
Shadow Silk ist eine finanziell motivierte Gruppe, die sich auf Verschleierung und langfristige Umgehung spezialisiert hat. Sie wurde dabei beobachtet, wie sie unentdeckt in kritischen Infrastrukturen und Regierungsorganisationen in mehreren Regionen operierte. In einem dokumentierten Fall blieb sie dabei mehr als zwölf Monate verborgen. Die Fähigkeit, in hochwertigen Umgebungen präsent zu bleiben, ohne Erkennung auszulösen, macht sie zu einem der operativ ausgereiftesten Akteure auf der diesjährigen Liste.
8. Bloody Wolf
Eine hartnäckige Bedrohungsgruppe, die langfristigen Zugriff und Überwachung über unmittelbaren finanziellen Gewinn stellt. Bloody Wolf ist vor allem in Zentralasien aktiv und konzentriert sich auf Regierungsorganisationen. Die Gruppe nutzt geografisch eingeschränkte Bereitstellungsinfrastrukturen, um eine gezielte, unauffällige Präsenz aufrechtzuerhalten – eine Vorgehensweise, die zunehmend mit Akteuren in Verbindung gebracht wird, die strategische Ziele der Informationsbeschaffung verfolgen.
9. Teste PHP
Teste PHP hat in weniger als einem Jahr eine Finanzcrime-Operation aufgebaut, die sich über fünf spanischsprachige Länder erstreckt. Dabei kommen bösartige Browser-Erweiterungen zum Einsatz, die Zugangsdaten in Echtzeit unbemerkt abgreifen. Die schnelle geografische Expansion und die aggressive Gewinnung von Opfern zeigen, mit welchem Tempo neue cyberkriminelle Operationen im aktuellen Ökosystem skalieren können.
10. DarkBlinders
DarkBlinders ist ein aufstrebender Bedrohungscluster, der Luftfahrt- und Telekommunikationsunternehmen im Nahen Osten ins Visier nimmt. Die Gruppe erreicht den höchsten Wert für TTP-Weiterentwicklung auf der diesjährigen Liste – eine Kennzahl, die aus Häufigkeit und Breite der Änderungen ihrer Taktiken, Techniken und Verfahren über einen Zeitraum von zwölf Monaten abgeleitet wird. Anders als Akteure, die nach einem statischen Playbook vorgehen, überwacht DarkBlinders kontinuierlich die eigene Sichtbarkeit und passt seine Methoden an, um bestehende Erkennungssignaturen unwirksam zu machen. Dadurch zählt die Gruppe zu den operativ agilsten Gegnern, die Group-IB derzeit verfolgt.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden