Mit mehreren regionalen Konflikten und einer Verlagerung offensiver Cyberoperationen hin zur frühzeitigen Kompromittierung von Netzwerken ist das verdeckte Eindringen über Zero-Day-Schwachstellen in Edge-Geräten zum Standardvorgehen geworden. Das stellt das Bedrohungsanalyse-Unternehmen Recorded Future in einem eigenen Bericht fest. Statt Schwachstellen zu horten, bestehe die moderne Strategie darin, sie zur Einrichtung von Zugängen in strategisch wichtigen Netzwerken zu nutzen, sagt Levi Gundert, Chief Security and Intelligence Officer bei Recorded Future. Führende staatliche Akteure investierten in die verdeckte Anhäufung von Zugängen zu Identitäten, Netzwerken und Edge-Infrastruktur — das ermögliche dauerhafte Informationsbeschaffung in Friedenszeiten und bewahre Handlungsoptionen für Störungen im Krisenfall.
Zu den Edge-Geräten zählen VPN-Appliances und Security-Gateways von Herstellern wie Cisco, Citrix, Fortinet, Ivanti, Juniper, Palo Alto Networks und SonicWall. Laut dem Known-Exploited-Vulnerabilities-Katalog (KEV) der US-Cybersicherheitsbehörde CISA wurden bei einer Liste von 14 typischerweise mit Edge-Geräten verbundenen Herstellern 2025 insgesamt 26 und 2024 insgesamt 35 Schwachstellen von Angreifern ausgenutzt. In den vergangenen vier Jahren wurden dem Katalog zufolge mehr als 100 Schwachstellen in Edge-Geräten gefunden und ausgenutzt.
Der Fokus auf die Netzwerkgrenze überrascht nicht: Wer Gateways und Zugangspunkte kontrolliert, kann Infrastruktur verdeckt kompromittieren, dauerhaften Zugang sichern und sich seitlich in Identitätssysteme vorarbeiten, erklärt Gundert. Diese Geräte würden oft langsamer gepatcht und weniger genau überwacht als Endpunkte, was sie für langfristige Zugriffe attraktiv mache. Auch das Forscherteam des Sicherheitsunternehmens ESET verweist darauf, dass solche Geräte öffentlich im Internet erreichbar seien und Angreifern damit eine direkte Angriffsfläche böten.
Edge-Geräte sind nicht das einzige Ziel staatlicher Gruppen, die DIB-Netzwerke angreifen. Nordkoreanischer IT-Betrug richtete sich ebenfalls gegen Militärbehörden und Rüstungsfirmen. Die Gruppe APT43 imitierte deutsche und US-amerikanische Unternehmen aus dem Rüstungsbereich und versuchte, Zugangsdaten zu stehlen und Backdoors in DIB-Netzwerken zu installieren. Die Gruppe UNC2970 sammelte Informationen sowohl über Rüstungsfirmen als auch über Cybersicherheitsunternehmen.
Laut Googles Analyse nutzten zudem iranisch verbundene Akteure wie UNC1549 und UNC6446 Jobportale und manipulierte Bewerbungs-Tools, um Beschäftigte aus der Luft- und Raumfahrt- sowie Rüstungsbranche anzugreifen. China-nahe Gruppen führten Anfang 2025 mindestens zwei Kampagnen durch und attackierten Mitarbeiter derselben Branchen mit maßgeschneiderten E-Mails, die persönliche Details aus Job- und Fachseiten nutzten. Von besonderem Interesse seien Daten über Drohnenhersteller und -betreiber.
Nach ESETs APT Activity Report rangieren verteidigungsnahe Organisationen weit oben unter den Angriffszielen. McNamara von Google betont, dass Zero-Day-Angriffe auf Edge-Geräte zwar charakteristisch für Attacken auf die DIB seien, dieselben Techniken aber auch gegen Sektoren außerhalb der Verteidigung eingesetzt würden. Edge-Geräte erforderten kein Social Engineering und blieben bei Erfolg lange unentdeckt — der Aufwand für das strategische Ausnutzen dieser Technologien sei deshalb besonders lohnend.
