Google verzeichnete 2025 einen Anstieg auf 90 ausgenutzte Zero-Day-Schwachstellen, angetrieben durch kommerzielle Überwachungsanbieter, die zunehmend Mobilgeräte und Browser ins Visier nehmen, während staatliche Akteure sich auf Edge-Geräte konzentrieren.
Kommerzielle Überwachungsanbieter treiben die Ausnutzung von Zero-Day-Schwachstellen immer stärker voran. Das zeigt ein aktueller Bericht der Google Threat Intelligence Group (GTIG), die 2025 insgesamt 90 Zero-Days dokumentierte – ein Anstieg gegenüber 78 im Vorjahr. Google definiert Zero-Days als Sicherheitslücken, die von Angreifern ausgenutzt werden, bevor ein Patch verfügbar ist.
Von den 90 dokumentierten Zero-Days konnte GTIG 42 direkt zuordnen: 18 stammten definitiv oder mit hoher Wahrscheinlichkeit von kommerziellen Überwachungsanbietern, während 15 von staatlichen Akteuren aus China, Russland, den VAE und anderen Ländern eingesetzt wurden.
Die Angreifer verfolgen unterschiedliche Strategien. Staatliche Gruppen konzentrieren sich auf Edge-Geräte und Sicherheitsappliances wie Router und Firewalls, um in Organisationsnetzwerke einzudringen. Kommerzielle Anbieter dagegen visieren Mobilgeräte und Browser an – mit dem Ziel, verkaufsfertige Spionage-Tools bereitzustellen. Die Zahl der ausgenutzen Mobile-Zero-Days pendelt stark: Nach dem Rückgang von 17 (2023) auf 9 (2024) stieg sie 2025 auf 15.
Microsoft-Technologien sind laut Report am stärksten betroffen, gefolgt von Google und Apple. 2025 warnten Behörden in den USA und Europa vor Zero-Days in Produkten von Ivanti, Cisco und Fortinet.
Chinesische Akteure führen weiterhin das Feld an: Sie bleiben, wie GTIG dokumentiert, die Hauptnutzer von Zero-Days und konzentrieren sich auf Sicherheitsappliances und Edge-Devices zur Wahrung persistenten Zugangs zu strategischen Zielen. Diese Geräte sind für Angreifer besonders attraktiv, da sie am Netzwerkrand positioniert sind und oft von Endpoint-Detection-Lösungen nicht abgedeckt werden – ein klassisches Blinder Fleck in der Verteidigung.
Ein Monat vor diesem Report ordneten US-Behörden allen Bundesbehörden an, Edge-Devices ohne aktuelle Firmware- und Sicherheits-Updates zu entfernen.
Besondere Aufmerksamkeit verdient die Brickstorm-Malware-Kampagne, die chinesischen Akteuren zugeordnet wird. Die Forscher warnen: Hier verfolgen Angreifer nicht nur Datendiebstahl, sondern auch das Stehlen von Quellcode und proprietärer Entwicklungsdokumentation. Dieses Intellectual Property könnte zur Entdeckung neuer Sicherheitslücken genutzt werden – mit Auswirkungen auf zehntausende Kunden der betroffenen Hersteller. Bekannte Beispiele sind CVE-2025-21590 bei Juniper Networks und CVE-2025-0282 bei Ivanti.
Chinesische Gruppen verfolgen zudem einen neuen Kurs: Statt Zero-Days nur an kleine, ressourcenstarke Gruppen weiterzugeben, nutzen inzwischen mehr Operateure Exploits näher an der öffentlichen Offenlegung – ein Zeichen dafür, dass die Entwicklungs- und Verteilungszyklen kürzer werden.
Die Rolle kommerzieller Anbieter wächst: Sie nutzen Exploit-Ketten aus drei oder mehr Schwachstellen, um in mobile Betriebssysteme einzubrechen. Google warnt seit Jahren vor Unternehmen wie Intellexa, die “extrem funktionsfähige Spyware an zahlungsfähige Kunden” verkaufen und damit “Bürgerrechte und Menschenrechte untergraben”.
Dies zeigt sich auch darin, dass der zeitliche Abstand zwischen der Offenlegung einer Schwachstelle und ihrer massiven Ausnutzung durch mehrere Gruppen immer kleiner wird. Sicherheitsexperte Clement Lecigne von GTIG erklärt: Die meisten verfolgten Unternehmen “verkaufen primär an Nationalstaaten”.
Neben Geheimdiensten und Überwachungsanbietern verfolgt GTIG auch neun Zero-Days, die von finanziell motivierten Hackern entwickelt wurden. Ein prominentes Beispiel: eine Oracle-E-Business-Suite-Schwachstelle, ausgenutzt von der Clop-Gruppe. Diese verschickte im August 2025 nach erfolgreicher Ausbeutung von CVE-2025-61882 und CVE-2025-61884 Erpressungsmails an hunderte Organisationen.
Die Forscher dokumentieren auch Überschneidungen: Hacker der russischen Gruppe Evil Corp nutzten CVE-2025-8088 zur Malware-Verbreitung – dieselbe Lücke, die auch die RomCom-Gruppe einsetzte, die sowohl für Finanzkriminalität als auch Spionage tätig ist.
Das Fazit von GTIG-Analyst Casey Charrier fällt düster aus: Das neue Threat-Landscape wird durch “erweiterten Zugang zu Zero-Day-Fähigkeiten und eine Diversifizierung der angegriffenen Hersteller” geprägt. “Die Sicherung hochprivilegierter Edge-Devices bleibt eine kritische Schwachstelle – diese High-Value-Assets dienen als Hebel für großflächige Ausbeutung.”
Quelle: The Record