China-nahe APT-Gruppen weiten Cyberoperationen in Lateinamerika aus

Zusammenfassung

Staatlich unterstützte Bedrohungsgruppen haben ihre Cyberoperationen gegen Länder sowie Regierungsstellen in Lateinamerika und der Karibik ausgeweitet. Nach Angaben von ESET steht die Entwicklung im Zusammenhang mit einer aktiveren geopolitischen Rolle der USA und Chinas in der Region. In einem am 28. Mai veröffentlichten Bericht zu APT-Gruppen beschreibt das Sicherheitsunternehmen, dass die China-nahe Gruppe FamousSparrow nach der US-Militäroperation in Venezuela eine venezolanische Regierungsgruppe mit Zuständigkeit für maritime Angelegenheiten ins Visier nahm. Auch Panama geriet demnach in den Fokus: Dort griffen FamousSparrow und die ebenfalls China zugerechnete Cyber-Spionagegruppe NegativeGlimmer Regierungsbehörden an. ESET hat nach Angaben seines Threat-Analysten Alexis Rapin seit Anfang 2025 rund ein Dutzend Länder in der Region erfasst, die Ziel solcher Aktivitäten waren. Die Kampagnen zeigen laut ESET, dass sich geopolitische Spannungen zunehmend in den Cyberraum verlagern, wobei die Angreifer meist nicht auf Zero-Day-Exploits setzen, sondern auf bekannte Zugangswege wie ungepatchte Server und Spear-Phishing.

ESET beschreibt eine deutliche Zunahme China-naher Cyber-Spionage in Lateinamerika und der Karibik. Besonders genannt werden Venezuela und Panama: FamousSparrow zielte laut dem Bericht auf eine venezolanische Regierungsgruppe aus dem maritimen Bereich, während FamousSparrow und NegativeGlimmer Behörden in Panama attackierten.

Nach Angaben von Alexis Rapin, Cyber-Bedrohungsanalyst bei ESET, hat das Unternehmen seit Anfang 2025 etwa ein Dutzend betroffene Staaten in der Region verfolgt. Zwar könne die übergeordnete Strategie aus dem nationalen Instrumentarium der Volksrepublik China stammen, viele China-nahe Gruppen arbeiteten jedoch im Sinne ihrer jeweiligen Auftraggeber. Rapin beschreibt das chinesische Nachrichtendienstsystem als stark dezentralisiert; verschiedene Einheiten könnten deshalb sogar dasselbe Ziel parallel angreifen, ohne sich abzustimmen.

Als geopolitischen Hintergrund nennt der Bericht die stärkere Ausrichtung großer Staaten auf Lateinamerika und die Karibik. Erwähnt werden die US-Militäroperation zur Festnahme des Präsidenten von Venezuela und seiner Ehefrau sowie das Versprechen der Trump-Regierung, den Panamakanal „zurückzuholen“. Hinzu kommen wirtschaftliche Interessen Chinas: Das Land beansprucht laut dem Text etwa die Hälfte des in Venezuela geförderten Öls. Außerdem verlor die Panama Ports Company, eine Tochter des in Hongkong ansässigen Konzerns CK Hutchison, ihren Vertrag für den Betrieb von Häfen auf beiden Seiten des Panamakanals, nachdem Panamas Oberster Gerichtshof die Vereinbarung als verfassungswidrig einstufte.

Rapin sagt, mit der „aggressiven Bekräftigung der US-Interessen in der Region“ wolle China Informationen darüber sammeln, was hinter verschlossenen Türen besprochen werde und ob eigene wirtschaftliche und geopolitische Interessen bedroht seien. Für Venezuela sei Öl offenkundig eines der zentralen chinesischen Interessen; deshalb liege die Annahme nahe, dass dies ein wichtiger Treiber der China-nahen APT-Aktivitäten im Land sei.

Aktiv sind in der Region jedoch nicht nur FamousSparrow und NegativeGlimmer. ESET nennt auch Earth Krahang, das 2024 Mexiko, Brasilien und Paraguay ins Visier genommen habe. Gruppen wie Vixen Panda, Aquatic Panda und Liminal Panda zielten 2024 und 2025 auf Argentinien, Bolivien, Brasilien, Chile, Kolumbien, Ecuador, Peru, Suriname und Uruguay.

Bei den verwendeten Methoden sehen die Forscher keine Dominanz von Zero-Day-Exploits. Der häufigste Erstzugang erfolge laut ESET über kompromittierte, ungepatchte Server, oft Microsoft-SQL-Datenbanken oder Exchange-Mailserver. Mathieu Tartare, leitender Malware-Forscher bei ESET, sagt, staatliche Angreifer hätten zwar durchaus Zero-Day-Exploits eingesetzt, versuchten aber meist, auf aufwendigere Implantate und Techniken zu verzichten, solange es nicht unbedingt nötig sei. In mehreren Fällen habe ESET maßgeschneiderte Implantate erst nach einem gescheiterten Einsatz handelsüblicher Implantate beobachtet.

Die zweithäufigste Zugriffsform ist laut Tartare Spear-Phishing, was sich auch beim Angriff von NegativeGlimmer gezeigt habe. Santiago Rosenblatt, Gründer und CEO von Strike.sh, sieht vor allem identitätsbezogene Angriffswege im Vordergrund: Lücken bei phishing-resistenter Mehrfaktor-Authentifizierung, Umgehungen von bedingtem Zugriff und der Diebstahl von Token nach erfolgter Mehrfaktor-Authentifizierung seien inzwischen besonders häufig, vor allem bei Finanzdienstleistern und regierungsnahen Fintechs in Mexiko, Brasilien und Argentinien. Zudem sei die Nachfrage nach Tests von Edge-Geräten und API-Angriffsflächen stark gestiegen.

Rosenblatt verweist außerdem auf eine Erkenntnis von Mandiant aus dem Jahr 2024: Die vier am stärksten ausgenutzten Schwachstellenklassen hätten sämtlich Edge-Geräte betroffen. Genau durch diese Tür seien China-nahe Akteure häufiger in Regierungen Lateinamerikas eingedrungen als über jeden anderen Weg. Russische Cyber-Spionagegruppen seien in der Region dagegen weitgehend abwesend. Eine Ausnahme sei das traditionell für Russland interessante Kuba; der jüngste Fokus der Trump-Regierung auf den Inselstaat werde dort wahrscheinlich zusätzliche Cyberaktivitäten auslösen.

China-nahe APT-Gruppen weiten Cyberoperationen in Lateinamerika aus

Ähnliche Artikel

Neueste Artikel