Das Ausmaß der kriminellen Aktivitäten von Triad Nexus wird immer deutlicher. Wie die Cybersecurity-Firma Silent Push in einem aktuellen Bericht dokumentiert, setzt die Bande ein Repertoire von Techniken ein, um ihre Verfolgung zu erschweren und ihre illegale Infrastruktur zu tarnen. Die zentrale Strategie lautet dabei: Infrastruktur-Wäsche durch etablierte Dienste.
Nachdem die US-Regierung 2025 das philippinische Funnull CDN sanktioniert hatte – das Netzwerk hatte zuvor 200.000 Hostnames für Betrugszwecke genutzt – musste Triad Nexus schnell handeln. Statt auf neue eigene Infrastruktur zu setzen, entschied sich die Bande für einen listigen Weg: Sie nutzt nun die Cloud-Services von globalen Tech-Giganten. Amazon, Cloudflare, Google und Microsoft stellen unwissend ihre Dienste zur Verfügung und verleihen den Betrugsfällen damit eine Aura der Seriösität, die selbst technisch versierte Nutzer täuschen kann.
Die Modus Operandi ist ausgefeil: Accounts werden durch sogenannte “Mules” – Strohpersonen – illegal erworben und missbraucht. Damit schaffen die Kriminellen die perfekte Tarnung: Wenn eine betrügerische Website von Cloudflares Servern kommt oder auf Googles Infrastruktur läuft, fällt sie nicht sofort als Fake auf.
Zum Schutz ihrer Operationen nutzt Triad Nexus mehrere Verschleierungstechniken. Das Netzwerk setzt auf über 175 zufällig generierte CNAME-Domains auf, die alle unterschiedlich konfiguriert sind. Front-Firmen mit klingenden Namen wie “Bole CDN”, “CDN1.ai” oder “Yunray.ai” dienen als weitere Tarnschicht. Eine geografische Sperre blockiert Zugriffe aus US-IP-Adressen – ein Versuch, vor amerikanischen Behörden und Sicherheitsforschern unsichtbar zu bleiben.
Besonders beängstigend ist die geografische Neuausrichtung der Bande. Nachdem die Gruppe ihre US-Aktivitäten reduziert hat, konzentriert sie sich nun verstärkt auf Spanien, Vietnam und Indonesien. Lokalisierte Website-Vorlagen werden für diese Märkte angepasst, was darauf hindeutet, dass europäische Nutzer stärker in den Fokus rücken.
Die Opferlisten aus Triads Dossier lesen sich wie ein Who’s Who der globalen Wirtschaft: Luxusmarken wie Cartier, Chanel und Coach, E-Commerce-Plattformen wie eBay und Etsy, Finanzdienstleister wie die Bank of America, Goldman Sachs und Wells Fargo. Die Betrüger erstellen pixelgenaue Klone dieser Websites, um Nutzer zur Eingabe sensibler Daten zu bewegen.
Das eigentliche Problem liegt in der Resilienz dieses Netzwerks. Selbst unter Sanktionen und internationaler Überwachung zeigt sich: Moderne Cybercrime-Banden sind nicht leicht zu zerschlagen, solange sie Zugang zu legitimer Infrastruktur haben. Für deutsche Unternehmen und Behörden ist dies ein Weckruf – die Gefahr kommt nicht nur von spezialisierten Cyberkriminellen, sondern von großen Organisationen, die mit Know-how und Hartnäckigkeit arbeiten.