Die Grenzen zwischen staatlicher Cyberspionage und organisierter Cyberkriminalität verschwimmen zunehmend. Im Mittelpunkt stehen die Aktivitäten der Gruppen TA829 und UNK_GreenSec. Mit hochentwickelten Phishing-Kampagnen, raffinierten Infrastrukturen und neuartigen Schadprogrammen nehmen sie Unternehmen und Organisationen weltweit ins Visier.
Beide Gruppen agieren an der Schnittstelle zwischen klassischer Cyberkriminalität und staatlich motivierter Spionage. Besonders auffällig ist, dass TA829 zwar primär finanziell motivierte Angriffe durchführt, jedoch auch regelmäßig gezielte Spionagekampagnen im Interesse Russlands betreibt – insbesondere seit Beginn des Ukraine-Kriegs. Die Gruppe nutzt ein Arsenal eigens entwickelter Schadsoftware, das auf den sogenannten RomCom-Backdoor-Familien basiert und laufend weiterentwickelt wird.
Die Kampagnen von TA829 zeichnen sich durch ein hohes Maß an Automatisierung und Skalierbarkeit aus. Dazu gehören unter anderem ständig wechselnde Versandinfrastrukturen, der Einsatz kompromittierter MikroTik-Router als Proxy (REM-Proxy) sowie ausgefeilte Weiterleitungsketten über legitime Dienste wie OneDrive oder Google Drive. Typisch sind Phishing-Mails, die täuschend echt gestaltete Links zu gefälschten Cloud-Diensten enthalten.
Beim Klick auf einen dieser Links wird die Infektionskette gestartet. Ziel dieser E-Mails sind sowohl Einzelpersonen als auch Organisationen verschiedener Branchen. Die Köder reichen dabei von angeblichen Bewerbungen bis hin zu vermeintlichen Beschwerden. TA829 nutzt sowohl eigene Infrastrukturen als auch Dienstleistungen aus dem kriminellen Untergrund, etwa für Domainregistrierungen oder Verschleierungsdienste.
Während einer operativen Pause von TA829 Anfang 2025 trat UNK_GreenSec mit sehr ähnlichen Kampagnen in Erscheinung. Diese Gruppe setzte auf ein neues Schadprogramm namens TransferLoader, das sich in seiner technischen Umsetzung deutlich von den bisherigen TA829-Werkzeugen unterscheidet.
Auffällig ist, dass UNK_GreenSec größere Mengen an E-Mails verschickte, häufig mit Bezug zu Job-Bewerbungen, und seine Angriffe geografisch weiter streute. Bei der Infrastruktur gibt es Überschneidungen zwischen den Gruppen: Beide Gruppen nutzten ähnliche Weiterleitungsmechanismen, Freemail-basierte Absenderadressen und identische Techniken zur Umgehung von Sicherheitsüberprüfungen wie etwa Cloudflare-Filter oder serverseitige Prüfungen.
Die Analyse zeigt, dass beide Gruppen nicht nur dieselben Angriffspfade nutzen, sondern auch teilweise identische Tools einsetzen, beispielsweise PuTTYs PLINK für SSH-Tunnel oder das Hosting von Komponenten über IPFS. In der Ausgestaltung der Malware und der letzten Stufen der Infektionsketten andererseits gibt es signifikante Unterschiede.
So nutzt TA829 nach wie vor die bekannten Backdoors SingleCamper und DustyHammock, die sich sowohl für Spionage als auch für Erpressung eignen. UNK_GreenSec hingegen verbreitet mit TransferLoader zunehmend Ransomware wie Morpheus, was einen stärkeren finanziellen Fokus nahelegt.
Der Untersuchung von Proofpoint zufolge ist die genaue Beziehung zwischen TA829 und UNK_GreenSec noch nicht abschließend geklärt. Folglich ist sowohl eine Zusammenarbeit über gemeinsame Dienstleister als auch eine direkte Verbindung oder gar die Identität beider Gruppen möglich. Fest steht, dass diese Entwicklung die Zuordnung und Bekämpfung von Cyberbedrohungen deutlich erschwert.
Die fortschreitende Vermischung von Cybercrime und Spionage macht eine enge Zusammenarbeit zwischen Wirtschaft, Behörden und IT-Security-Unternehmen erforderlich, um der dynamischen Bedrohungslage wirksam begegnen zu können.