Eine aktuelle Untersuchung von Trend Micro beschreibt, wie die China-nahe Hackergruppe Salt Typhoon in jüngsten Cyberangriffen neue Kooperationsformen mit anderen Spionageakteuren nutzt. Durch das gezielte Weitergeben kompromittierter Zugänge entsteht ein schwer durchschaubares Netzwerk koordinierter Operationen – mit weitreichenden Folgen für IT-Sicherheitsstrategien.
Die von Trend Micro untersuchte Gruppe Salt Typhoon (auch bekannt als Earth Estries) gilt seit Jahren als aktiver Akteur im Bereich staatlich unterstützter Cyber-Spionage. Ihre Angriffe richten sich vor allem gegen Telekommunikationsunternehmen und Regierungsorganisationen. Laut der neuen Analyse zeigt sich nun ein Wandel in der operativen Vorgehensweise: Mehrere APT-Gruppen (Advanced Persistent Threats) agieren zunehmend arbeitsteilig und koordinieren ihre Aktionen über ein strukturiertes Modell der Zugangsteilung.
Trend Micro bezeichnet diesen Ansatz als „Premier Pass-as-a-Service“. Dabei übernehmen einzelne Gruppen nicht nur den Erstzugriff auf Zielsysteme, sondern geben diesen gezielt an andere Akteure weiter. Ziel sei es, die Effizienz von Spionagekampagnen zu steigern und gleichzeitig die Zuordnung zu einzelnen Gruppen zu verschleiern.
Abbildung 1: Vom Initial Access Broker zum Premier Pass-as-a-Service (Quelle: Trend Micro)
Ein dokumentierter Fall beschreibt, wie Salt Typhoon im November 2024 den Zugriff auf eine große Einzelhandelskette in der APAC-Region an die Gruppe Earth Naga übergab. Ein weiterer Vorfall betraf im März 2025 eine südostasiatische Regierungsbehörde, bei der mehrere Schadprogramme – darunter ShadowPad, CrowDoor und Cobalt Strike – eingesetzt wurden, um die dauerhafte Präsenz in den Netzwerken sicherzustellen.
Die beobachtete Zusammenarbeit zwischen Salt Typhoon / Earth Estries und Earth Naga (auch bekannt als Flax Typhoon, RedJuliett oder Ethereal Panda) markiert laut Trend Micro einen deutlichen Wandel in der Bedrohungslandschaft.
Während APT-Gruppen bislang meist unabhängig voneinander agierten, entsteht nun ein vernetztes Ökosystem von Angreifern, die Ressourcen und Zugänge austauschen. Diese Entwicklung führe zu komplexeren Angriffsketten und erschwere die Attribution – also die eindeutige Zuordnung einzelner Vorfälle zu bestimmten Gruppen.
Abbildung 2: Schematische Darstellung der Verbindungen zwischen Bedrohungsgruppen (Quelle: Trend Micro)
Das „Premier Pass“-Modell erinnert an ein Dienstleistungsprinzip: Gruppen mit bestehendem Zugang agieren als Access Provider, die anderen Akteuren die Fortführung der Angriffe ermöglichen. Für Sicherheitsverantwortliche bedeutet dies laut Trend Micro, dass Verteidigungsstrategien künftig stärker auf vernetzte Angreiferökosysteme ausgerichtet sein müssen – und nicht mehr nur auf isolierte Gruppen.
Die Untersuchung verweist zudem auf eine zunehmende Professionalisierung der APT-Szene: Der Zugang selbst wird zur handelbaren Ressource, die gezielt weitergegeben wird, um Spionagekampagnen über längere Zeiträume aufrechtzuerhalten.
Zum vollständigen Bericht (Englisch): The Rise of Collaborative Tactics Among China-aligned Cyber Espionage Campaigns
