Die Warnmeldung zeigt ein beunruhigendes Muster: Chinesische Hacker-Gruppen haben sich zunehmend von einzelnen Servern und Infrastrukturen abgewendet und setzen stattdessen auf dezentralisierte Botnetzwerke. Diese Netzwerke bestehen primär aus gehackten Routern für kleine Büros und Heimnetzwerke (SOHO), Internet-of-Things-Geräten wie Kameras, Videorecordern und netzwerkgebundenen Speichersystemen (NAS).
Die Funktionsweise ist raffiniert: Angreifer leiten ihren Datenverkehr durch Ketten kompromittierter Geräte, treten an einem Punkt ins Netzwerk ein, durchlaufen mehrere Zwischenknoten und verlassen das System in Zielnähe. Dadurch werden geografische Ursprünge verschleiert und klassische Erkennungsmethoden umgangen.
Ein besonders prominentes Beispiel ist das Botnet “Raptor Train”, das 2024 über 260.000 Geräte weltweit infizierte. Das FBI verband es direkt mit der chinesischen staatlich geförderten Hacker-Gruppe “Flax Typhoon” und dem chinesischen Unternehmen “Integrity Technology Group” — welches im Januar 2025 sanktioniert wurde. Die Angriffe zielten auf militärische Einrichtungen, Behörden, Hochschulen, Telekommunikationsunternehmen und Verteidigungsindustrie, hauptsächlich in den USA und Taiwan. Das FBI schaltete Raptor Train im September 2024 mit Hilfe von Sicherheitsforschern aus.
Ähnlich agiert die Gruppe “Volt Typhoon” mit dem Botnet “KV-Botnet”, das hauptsächlich aus veralteten, ungepatchten Cisco- und Netgear-Routern besteht. Obwohl das FBI das Netzwerk im Januar 2024 unterbrach, begann Volt Typhoon im November 2024 mit einer Wiederbelebung.
Die Warnung der internationalen Behörden — unterzeichnet von Agenturen aus Großbritannien, USA, Australien, Kanada, Deutschland, Japan, Niederlanden, Neuseeland, Spanien und Schweden — adressiert ein fundamentales Problem: Traditionelle Abwehrmethoden basierend auf statischen Listen blockierter IP-Adressen verlieren ihre Wirksamkeit. Diese Botnetzwerke fügen ständig neue kompromittierte Knoten hinzu und sind dadurch dynamisch und schwer zu bekämpfen.
Experten empfehlen Organisationen, Mehrfaktor-Authentifizierung einzuführen, Netzwerk-Randgeräte zu kartografieren und dynamische Threat-Feeds zu nutzen. Zero-Trust-Modelle, IP-Allowlists und Maschinenzertifikat-Verifikation gelten als vielversprechende Schutzmaßnahmen. Paul Chichester, Operationsdirektor der NCSC-UK, warnt: “Botnet-Operationen stellen eine erhebliche Bedrohung dar, da sie Schwachstellen in alltäglichen internetverbundenen Geräten ausnutzen und großflächige Cyber-Angriffe ermöglichen.” Für deutsche Unternehmen bedeutet dies: Proaktive Sicherheitsmaßnahmen sind nicht länger optional.