Hacker setzen zunehmend auf frisch offenbarte Schwachstellen in Drittanwendungen, um sich Zugang zu Cloud-Infrastrukturen zu verschaffen. Das zeitliche Fenster für solche Angriffe hat sich dramatisch verkürzt: Was früher Wochen dauerte, geschieht nun innerhalb von Tagen. Google dokumentiert diese besorgniserregende Entwicklung in seinem neuesten Sicherheitsbericht zu Cloud-Bedrohungen.
Ein auffälliger Trend zeigt sich beim Rückgang traditioneller Angriffsmethoden. Schwache Passwörter oder Fehlkonfigurationen spielten in der zweiten Jahreshälfte 2025 eine deutlich geringere Rolle als noch davor. Stattdessen wurden Softwarefehler zum Haupteinfallstor: Sicherheitsanalysten stellten fest, dass Exploit-Techniken in 44,5 % der untersuchten Vorfälle der primäre Zugangsvektor waren. Schwachstellen in Zugangsdaten waren hingegen nur für 27 % der Datenschutzverletzungen verantwortlich.
Die am häufigsten ausgebeuteten Sicherheitslücken ermöglichen Remote Code Execution (RCE). Besonders hervorzuheben sind React2Shell (CVE-2025-55182) und die XWiki-Schwachstelle CVE-2025-24893, die im Zusammenhang mit RondoDox-Botnet-Angriffen ausgenutzt wurde. Google führt diesen Verhaltensswechsel bei Cyberkriminellen auf erhöhte Sicherheitsmaßnahmen zurück. “Wir bewerten diese Veränderung als Folge von Googles ‘secure-by-default’-Strategie und verbessertem Schutz von Anmeldedaten, die traditionelle Angriffswege erfolgreich blockiert haben und die Einstiegshürde für Angreifer deutlich erhöht”, erklärt der Konzern.
Das Zeitfenster für Exploits ist zusammengebrochen. Google beobachtete, dass Kryptominer teilweise innerhalb von 48 Stunden nach einer Schwachstellenmitteilung eingesetzt wurden – ein Beleg für die hohe Bereitschaft von Hackern, neue Lücken schnell zu Waffen umzufunktionieren.
Bei der Zugangsbeschaffung setzen sowohl staatliche Akteure als auch gewinnorientierte Hacker verstärkt auf kompromittierte Identitäten. Diese erhalten sie häufig durch Phishing und Vishing, wobei die Angreifer sich als IT-Support-Mitarbeiter ausgeben. Das Ziel ist in den meisten Fällen die diskrete Exfiltration großer Datenmengen ohne sofortige Erpressung, kombiniert mit der Etablierung langfristiger Persistenz.
Google beschreibt mehrere Spionagekampagnen von Akteuren aus dem Iran und China, die über mehr als 18 Monate hinweg Zugang zu Opferumgebungen behielten. Der iranische Bedrohungsakteur UNC1549 hatte beispielsweise über zwei Jahre Zugriff auf ein Ziel mittels gestohlener VPN-Anmeldedaten und der MiniBike-Malware. Das ermöglichte den Diebstahl von fast einem Terabyte propriärer Daten. Ein chinesischer Akteur namens UNC5221 nutzte die BrickStorm-Malware, um mindestens 18 Monate lang auf VMware-vCenter-Server zuzugreifen und Quellcode zu stehlen.
Nordkoreanische IT-Arbeiter vom Akteur UNC5267 waren für 3 % der analysierten Eindringungen in der zweiten Jahreshälfte 2025 verantwortlich. Sie nutzten gefälschte Identitäten, um Arbeitsstellen zu erhalten und damit Einnahmen für die Regierung zu generieren. Ein anderer nordkoreanischer Akteur, UNC4899, spezialisierte sich auf den Diebstahl digitaler Vermögenswerte aus Cloud-Umgebungen. In einem Fall brachten sie einen Entwickler dazu, ein bösartiges Archiv herunterzuladen – getarnt als Zusammenarbeit an einem Open-Source-Projekt – und so mehrere Millionen US-Dollar in Kryptowährung zu erbeuten.
Der Entwickler transferierte das Archiv mittels Airdrop vom privaten auf den Geschäftscomputer und öffnete es in einer KI-gestützten Integrated Development Environment. Das Archiv enthielt bösartigen Python-Code, der eine Binärdatei installierte, die sich als Kubernetes-Befehlszeilentool tarnte. Diese Binärdatei verbindete sich mit UNC4899-kontrollierten Domänen und fungierte als Hintertür, die den Angreifern einen Fuß in das Unternehmensnetzwerk gab.
Von dort aus pivotierten die Angreifer in die Cloud-Umgebung, führten Aufklärungsaktivitäten durch – einschließlich der Erkundung bestimmter Kubernetes-Pods – etablierten Persistenz und erhielten ein Token für ein hochprivilegiertes CI/CD-Dienstkonto. Dies ermöglichte laterale Bewegungen zu sensibleren Systemen, etwa zu einem Pod, der für Netzwerkrichtlinien zuständig war und es ihnen erlaubte, aus dem Container auszubrechen und eine Hintertür zu pflanzen.
Nach weiterer Aufklärung zielten die Angreifer auf ein System ab, das Kundeninformationen – Identitäten, Kontosicherheit, Kryptowallet-Daten – verwaltete und unsicher gespeicherte Datenbank-Anmeldedaten enthielt. Mit diesen Informationen kompromittierten sie Benutzerkonten und stahlen mehrere Millionen Dollar in Kryptowährung.
Ein anderer Angriff nutzte ein gefälschtes npm-Paket namens QuietVault. Der Angreifer stahl ein GitHub-Token eines Entwicklers und missbrauchte das GitHub-zu-AWS-OpenID-Connect-Vertrauen, um ein neues Admin-Konto in der Cloud-Umgebung zu erstellen. Innerhalb von nur drei Tagen ab dem initialen Kompromiss extrahierte QuietVault die GitHub- und NPM-API-Keys des Entwicklers – unter Zuhilfenahme von KI-Prompts mit lokalen KI-Befehlszeilentools – missbrauchte die CI/CD-Pipeline, um die AWS-API-Keys der Organisation zu stehlen, zerstörte Daten im S3-Speicher sowie in Produktions- und Cloud-Umgebungen.
Dieser Vorfall war Teil der “s1ngularity”-Supply-Chain-Attacke im August 2025, als ein Angreifer kompromittierte npm-Pakete des Nx-Projekts – eines Open-Source-Build-Systems und Monorepo-Management-Tools – veröffentlichte. Während des Angriffs wurden sensible Informationen von 2.180 Konten und 7.200 Repositories – GitHub-Tokens, SSH-Keys, Konfigurationsdateien, npm-Tokens – offengelegt und von dem Angreifer in öffentliche GitHub-Repositories geleakt, die den Namen “s1ngularity” trugen.
Bei der Datenexfiltration nutzen Angreifer klassisch E-Mail und tragbare Speichergeräte, doch Forscher beobachten einen neuen Trend: Insider greifen zunehmend auf AWS, Google Cloud, Microsoft Azure, Google Drive, Apple iCloud, Dropbox und Microsoft OneDrive zurück. Diese Erkenntnis stammt aus der Analyse von 1.002 Insider-Datendiebstählen, von denen 771 stattfanden, während die Person noch angestellt war, und 255 nach ihrem Ausscheiden aus dem Unternehmen.
Google betont, dass die Bedrohung erheblich genug ist, um Unternehmen zum Implementieren von Schutzmaßnahmen gegen interne und externe Bedrohungen zu bewegen. Ein Arbeitnehmer, Auftragnehmer oder Berater kann manchmal das Vertrauen missbrauchen und Unternehmensdaten stehlen. Die Trendanalyse deutet darauf hin, dass Cloud-Dienste bald E-Mail als bevorzugte Exfiltrationsmethode ablösen werden.
Ein weiterer besorgniserregender Trend: Angreifer löschen zunehmend Backups, entfernen Log-Dateien und vernichten forensische Artefakte, um die Wiederherstellung von Beweisen und Daten zu erschweren. Google warnt daher eindringlich vor der Notwendigkeit automatisierter Incident-Response-Systeme. Cloud-Angriffe sind mittlerweile zu schnell für manuelle Reaktionsschemen – teilweise erfolgt die Payload-Bereitstellung innerhalb einer Stunde nach der Erstellung einer neuen Instanz.
Für die Trends, die die Cloud-Sicherheit dieses Jahr prägen werden, erwartet Google eine Zunahme der Bedrohungsaktivitäten. Geopolitische Konflikte, die Fußball-Weltmeisterschaft und die US-Midterm-Elections werden als Magneten für böswillige Operationen fungieren.