Am 25. Februar 2026 enthüllte Google eine der weitreichendsten chinesischen Spionagekampagnen des Jahrzehnts. Die Hacker-Gruppe UNC2814, von Reuters auch als “Gallium” bezeichnet, hatte bis zu diesem Zeitpunkt 53 Organisationen in 42 Ländern auf vier Kontinenten kompromittiert. Verdächtige Aktivitäten lagen in mindestens 22 weiteren Ländern vor. Googles Threat Intelligence Group (GTIG) stoppte den Angriff gemeinsam mit Mandiant und internationalen Partnern durch die Zerschlagung der Angreiferinfrastruktur. Der Schlüssel zum Erfolg der Angreifer: Sie nutzten Google Sheets als Befehls- und Kontrollkanal, um sich in normalem Cloud-Traffic zu verstecken.
UNC2814: Der Angriff in Zahlen
Die Dimension dieser Kampagne ist bemerkenswert. Google GTIG bestätigte in seinem Bericht, dass UNC2814 seit mindestens 2017 aktiv ist. Die Gruppe beschrieb Google als zugleich “prolific” (äußerst aktiv) und “elusive” (schwer zu fassen). Die jüngste Kampagne traf Telekommunikationsunternehmen und Regierungsbehörden in Afrika, Asien und Amerika, mit Verdacht auf weitere Aktivitäten in Europa. Die Zahlen sprechen für sich:
- 53 kompromittierte Organisationen in 42 Ländern bestätigt
- 22 weitere Länder mit verdächtigen Infektionsanzeichen
- 4 Kontinente betroffen: Afrika, Asien, Amerika, Europa
- Gruppe aktiv seit mindestens 2017, fast ein Jahrzehnt unentdeckt
- Eingesetzte Backdoor: GRIDTIDE, neu und bisher nicht öffentlich bekannt
- Google beschreibt den Aufwand als Ergebnis eines “jahrzehntelangen konzentrierten Einsatzes”
Charley Snyder, Senior Manager des Google Threat Intelligence Group, erklärte gegenüber Reuters: “Die Gruppe hatte bestätigten Zugang zu 53 nicht namentlich genannten Einrichtungen in 42 Ländern, mit möglichem Zugang in mindestens 22 weiteren Ländern zum Zeitpunkt unserer Intervention.” Google disruptierte die Kampagne durch das Abschalten der kontrollierten Google Cloud-Projekte, das Neutralisieren der Angreiferinfrastruktur und das Deaktivieren der Konten, die für den Zugriff auf Google Sheets verwendet wurden.
Für den DACH-Raum ist diese Meldung besonders relevant, da Deutschland, Österreich und die Schweiz zu den Regionen gehören, über die Google keine expliziten Angaben machte. Gleichzeitig sind die großen deutschen Telekommunikationsanbieter, Deutsche Telekom, Vodafone Deutschland und Telefónica Deutschland, Teil der globalen Telekommunikationsinfrastruktur, die UNC2814 systematisch anvisiert. Die Dunkelziffer dürfte höher sein als die 53 bestätigten Fälle.
GRIDTIDE: Die Backdoor, die Google Sheets als Waffe nutzt
Das technische Herzstück der Kampagne war die bislang unbekannte Backdoor GRIDTIDE. Mandiant entdeckte sie bei der Analyse kompromittierter Systeme und dokumentierte eine außergewöhnliche Arbeitsweise: GRIDTIDE nutzt nicht eigene Server als Kommandozentrale, sondern missbraucht die legitime Google Sheets API, um Befehle zu empfangen und Daten zu übertragen. Das Tabellenkalkulationsprogramm wird dabei nicht als Dokument benutzt, sondern als Kommunikationskanal für Rohdaten und Shell-Befehle.
Google und Mandiant stellten in ihrem gemeinsamen Bericht klar: “Diese Aktivität ist kein Ergebnis einer Sicherheitslücke in Google-Produkten; vielmehr missbraucht sie die legitime Google Sheets API-Funktionalität, um den C2-Traffic zu verschleiern.” Der Trick ist technisch elegant. Da Millionen von Unternehmen täglich Google Sheets verwenden, fällt der Datenverkehr der Backdoor im normalen Netzwerk-Monitoring nicht auf. Security-Tools, die auf Blacklists bekannter Malware-Infrastruktur basieren, schlagen nicht an, weil die Kommunikation über eine legitime, weit verbreitete Cloud-Plattform läuft.
Technische Funktionen von GRIDTIDE im Detail
GRIDTIDE bietet Angreifern drei Kernfunktionen: die Ausführung beliebiger Shell-Befehle auf dem kompromittierten System, das Hoch- und Herunterladen von Dateien sowie die Persistenz über System-Neustarts hinaus. Mandiant beschreibt die Backdoor als in der Lage, “ein Google-Spreadsheet nicht als Dokument, sondern als Kommunikationskanal für den Transfer von Rohdaten und Shell-Befehlen zu behandeln.” Das bedeutet, dass ein Angreifer von einem einzigen Google-Konto aus Hunderte von kompromittierten Systemen weltweit steuern kann.
Auf einem der untersuchten kompromittierten Systeme fanden Google-Forscher persönliche Daten: vollständige Namen, Telefonnummern, Geburtsdaten, Geburtsorte, Wähler-IDs und nationale Ausweisdaten. Google wertet dies als Hinweis darauf, dass UNC2814 versuchte, bestimmte Personen zu identifizieren, zu verfolgen und zu überwachen. Das Ziel war demnach nicht der Diebstahl von Unternehmensgeheimnissen, sondern die Erstellung von Ziel-Profilen für nachrichtendienstliche Zwecke.
| Merkmal | Details |
|---|---|
| Backdoor-Name | GRIDTIDE |
| C2-Kanal | Google Sheets API (missbrauchte Legitimfunktion) |
| Kernfunktionen | Shell-Befehle ausführen, Datei-Upload/Download, Persistenz |
| Entdeckt durch | Google GTIG / Mandiant, Februar 2026 |
| Beobachtete Datentypen auf Zielsystemen | Namen, Geburtsdaten, Telefonnummern, Wähler-IDs, Ausweis-IDs |
| Erkennungsmethode erforderlich | Verhaltensbasierte Analyse, Cloud-Egress-Monitoring |
| Gruppe aktiv seit | Mindestens 2017 |
| Primäre Angriffsziele | Telekommunikationsanbieter, Regierungsbehörden |
Wer steckt hinter UNC2814 alias Gallium?
Google klassifiziert UNC2814 als “suspected People’s Republic of China (PRC)-nexus cyber espionage group”, also als Gruppe mit mutmaßlicher Verbindung zur Volksrepublik China. Reuters bezeichnete dieselbe Gruppe unter dem Namen “Gallium”, einem Bezeichner, der in westlichen Geheimdienstkreisen und bei Sicherheitsforschern gebräuchlich ist. Die Gruppe operiert seit mindestens 2017 und hat in fast einem Jahrzehnt kontinuierlich ihre Fähigkeiten ausgebaut.
Die Einordnung in das chinesische APT-Ökosystem ist vielschichtig. Chinesische Cyber-Akteure agieren in einem Geflecht aus militärischen Einheiten der Volksbefreiungsarmee (PLA), dem Ministerium für Staatssicherheit (MSS) und privaten Auftragnehmern. UNC2814 / Gallium zeigt typische Merkmale eines MSS-nahen Akteurs: Der Fokus liegt auf Informationsgewinnung, nicht auf finanziellen Motiven oder destruktiven Aktionen. Die Zielauswahl, Telekommunikationsanbieter und Regierungsstellen, passt zur klassischen Nachrichtendienstarbeit, bei der Gesprächsmetadaten, Überwachungssysteme und Personendaten strategischen Wert haben.
Das 2026 Annual Threat Assessment der US-amerikanischen Intelligence Community stuft China als “the most active and persistent cyber threat to U.S. Government, private-sector, and critical infrastructure networks” ein. Laut diesem Bericht handeln chinesische Cyber-Akteure aus klar definierten politischen, wirtschaftlichen und militärischen Interessen. UNC2814 ist damit kein opportunistischer Akteur, sondern Teil einer staatlich gesteuerten Langzeitstrategie.
Die Ziele: Telekoms und Behörden auf vier Kontinenten
UNC2814 hat laut Google eine “lange Geschichte der gezielten Angriffe auf internationale Regierungen und globale Telekommunikationsorganisationen in Afrika, Asien und Amerika.” Die Kampagne des Jahres 2026 untermauert dieses Profil eindrücklich. Besonders auffällig ist die geografische Streuung: 42 bestätigte Zielländer auf vier Kontinenten zeigen, dass UNC2814 nicht auf bestimmte Regionen beschränkt ist, sondern gezielt nach Telekommunikationsinfrastruktur und Regierungsnetzwerken weltweit sucht.
Warum sind Telekommunikationsanbieter so attraktive Ziele für staatliche Spionage? Sie sind das Rückgrat moderner Kommunikationsinfrastruktur. Wer Zugang zu Telekommunikationsnetzwerken hat, kann potenziell Anrufmetadaten im großen Maßstab sammeln, also wer wann wen anrief. Hinzu kommt der mögliche Zugriff auf unverschlüsselte SMS-Nachrichten, besonders über veraltete 2G- und 3G-Verbindungen. Am gefährlichsten ist der potenzielle Missbrauch gesetzlicher Abhörsysteme, sogenannter Lawful-Intercept-Systeme, die eigentlich für staatliche Strafverfolgung gedacht sind. Ein Angreifer, der Zugang zu diesen Systemen gelangt, kann staatliche Überwachungsinfrastruktur gegen andere Staaten verwenden.
Google GTIG merkte in seinem Bericht an, dass bei der aktuellen Kampagne keine direkte Datenexfiltration beobachtet wurde. Allerdings hält das Unternehmen fest: “Historische PRC-Spionageoperationen gegen Telekoms haben zum Diebstahl von Anrufdatensätzen, unverschlüsselten SMS-Nachrichten und zur Kompromittierung gesetzlicher Abhörsysteme geführt.” Das Muster ist damit klar: GRIDTIDE wurde als Vorbereitungs- und Positionierungswerkzeug eingesetzt.
Wie Google die Kampagne stoppte
Die Disruption der UNC2814-Kampagne war eine koordinierte, mehrstufige Operation. Google GTIG arbeitete mit Mandiant und nicht namentlich genannten internationalen Partnern zusammen, um die Angreiferinfrastruktur vollständig zu zerschlagen. Laut Googles Veröffentlichung vom 25. Februar 2026 wurden die Maßnahmen bereits um den 18. Februar 2026 ergriffen, also eine Woche vor der öffentlichen Bekanntmachung. Google handelte schnell, sobald die Kampagne vollständig dokumentiert war.
Die drei konkreten Maßnahmen: Erstens schaltete Google alle Google Cloud-Projekte ab, die unter UNC2814s Kontrolle standen und als Teil der Angriffsinfrastruktur dienten. Zweitens identifizierte und neutralisierte das Unternehmen gemeinsam mit Partnern die Internetinfrastruktur der Angreifer außerhalb der eigenen Plattform. Drittens deaktivierte Google alle Konten, die für den Betrieb der GRIDTIDE-Backdoor über Google Sheets genutzt wurden. Im Anschluss informierte Google alle bekannten Opfer direkt und bot Unterstützung bei der Incident Response an.
Die Bedeutung von Googles aktivem Eingreifen
Googles Intervention in dieser Kampagne ist bemerkenswert. Der Konzern nutzte seine einzigartige Position als Betreiber der missbrauchten Infrastruktur, um aktiv einzugreifen. Das unterscheidet diesen Fall von vielen anderen APT-Enthüllungen, bei denen Sicherheitsfirmen lediglich berichten, aber nicht direkt handeln können. Die Fusion von Mandiant (übernommen 2022 für 5,4 Milliarden US-Dollar) mit Googles Threat Analysis Group zur GTIG hat genau diese Kombination aus Erkennungskompetenz und Handlungsfähigkeit geschaffen. Für staatliche Angreifer bedeutet das: Die Nutzung kommerzieller Cloud-Dienste als Angriffsinfrastruktur birgt das Risiko, dass der Plattformbetreiber selbst eingreift.
Was gestohlen wurde und was nicht
Google GTIG war in seiner Darstellung präzise über die Grenzen der eigenen Erkenntnisse. Das Unternehmen erklärte ausdrücklich, dass bei der aktuellen UNC2814-Kampagne keine direkte Datenexfiltration beobachtet wurde. Das bedeutet jedoch nicht, dass nichts gestohlen wurde, sondern nur, dass Google es bei der Analyse der bekannten Systeme nicht beobachtete. Auf einem untersuchten kompromittierten System lagen persönliche Daten: vollständige Namen, Telefonnummern, Geburtsdaten, Geburtsorte, Wähler-IDs und nationale Ausweisdaten.
Die historische Einordnung ist entscheidend: Frühere, vergleichbare chinesische Spionagekampagnen gegen Telekommunikationsunternehmen führten nachweislich zu konkreten Datendiebstählen. Bei der Salt-Typhoon-Kampagne aus dem Jahr 2024 wurden beispielsweise Anrufmetadaten von mehr als einer Million Personen gestohlen, darunter Kommunikationsdaten von US-Regierungsbeamten. Dazu kamen unverschlüsselte SMS-Nachrichten und in einigen Fällen Zugang zu Lawful-Intercept-Systemen. Es ist daher plausibel anzunehmen, dass UNC2814 mit GRIDTIDE ähnliche Ziele verfolgte und die Kampagne vor dem Erreichen dieser Ziele gestoppt wurde.
UNC2814 im Kontext: Chinesische APT-Gruppen 2026
UNC2814 ist kein Einzelfall, sondern Teil eines massiven Musters chinesischer Cyber-Spionage im Jahr 2026. Laut einer Analyse von CybelAngel hat Salt Typhoon allein 2026 Netzwerke in mehr als 80 Ländern kompromittiert, von Telekommunikation über Transport bis hin zu Regierungseinrichtungen. In Singapur gab die Regierung bekannt, dass eine China-nahe Gruppe alle vier großen Telekommunikationsanbieter des Stadtstaates angegriffen hatte. In Europa dokumentierte ESET die Aktivitäten der FishMonger-Gruppe (I-SOON) bei Angriffen auf Regierungen, NGOs und Think Tanks in Ungarn, Frankreich und der Türkei.
Das ASEC Threat Trend Report für Mai 2026 identifizierte Supply-Chain-Angriffe, Angriffe auf Entwicklerumgebungen und die Exploitation von Runtime-Umgebungen als wesentliche Trends im APT-Bereich. Wiederholt angegriffene Sektoren decken sich mit UNC2814s Zielprofil: Telekommunikation, Regierung, Verteidigung, Diplomatie und Bildung. Besonders auffällig in dem Bericht: Die Nutzung von Cloud-Services und legitimen Remote-Management-Tools als C2-Infrastruktur wurde “selbst in den letzten Monaten noch ausgeprägter.” GRIDTIDE ist damit Ausdruck eines Branchentrends unter staatlichen Hackern.
| APT-Gruppe | Alias | Aktiv seit | Betroffene Länder 2025/2026 | Angriffsmethode | Hauptziele |
|---|---|---|---|---|---|
| UNC2814 | Gallium | 2017 | 42 bestätigt, 22+ vermutet | GRIDTIDE via Google Sheets API | Telekoms, Behörden |
| Salt Typhoon | Liminal Panda | 2024 | 80+ | Lawful Intercept Missbrauch | Telekoms, US-Regierungsbehörden |
| FishMonger | Aquatic Panda, Earth Lusca | 2019 | USA, Frankreich, Ungarn, Türkei u. a. | ShadowPad, SodaMaster, Cobalt Strike | Regierungen, NGOs, Think Tanks |
| APT28 | Fancy Bear (Russland) | 2000er | 15+ (inkl. Deutschland) | TP-Link-Router-Exploits | WLAN-Infrastruktur, SOHO-Router |
| VerdantBamboo | UNC5221 | Unbekannt | Mehrere | 18+ Monate Persistenz, Remediation-überstehend | Enterprise-Netzwerke |
Der Vergleich: UNC2814 vs. Salt Typhoon
Um die Bedeutung von UNC2814 einzuordnen, lohnt ein direkter Vergleich mit Salt Typhoon, der chinesischen Gruppe, die 2024 mit dem Angriff auf mindestens acht US-Telekommunikationsanbieter, darunter AT&T, Verizon und Lumen Technologies, für weltweite Schlagzeilen sorgte. Beide Gruppen verfolgen das gleiche Primärziel, Telekommunikationsinfrastruktur anzugreifen. Sie unterscheiden sich jedoch erheblich in Methode, geografischem Schwerpunkt und den bisher dokumentierten Ergebnissen.
Salt Typhoon ist laut US-Geheimdiensten bis heute in einigen US-Netzwerken aktiv. Im Jahr 2026 wurden frische Kompromittierungen bei Konten des US-Repräsentantenhauses bestätigt. Salt Typhoon hatte nachweislich Metadaten von mehr als einer Million Personen abgegriffen. UNC2814 hingegen zeigte eine breitere geografische Streuung über 42 bestätigte Länder, mit möglicherweise weniger tiefer Penetration einzelner Ziele. Der entscheidende Unterschied ist der Ausgang: Googles Intervention stoppte UNC2814s laufende Infrastruktur, während Salt Typhoon in mehreren Netzwerken weiterhin präsent ist.
| Aspekt | UNC2814 / Gallium | Salt Typhoon |
|---|---|---|
| Betroffene Länder | 42 bestätigt (Feb. 2026) | 80+ (Stand 2026) |
| Kompromittierte Org. | 53 (+22 Länder vermutet) | 8+ US-Telekoms, Regierungsbehörden |
| C2-Methode | Google Sheets API (GRIDTIDE) | Eigene Infrastruktur, Lawful Intercept |
| Primäres Ziel | Telekoms und Behörden global | Telekoms, Überwachungssysteme USA |
| Bestätigte Datenexfiltration | Nicht direkt beobachtet (Feb. 2026) | Anrufmetadaten von 1 Mio.+ Personen |
| Bekannt seit | 2017 (Gruppe), Feb. 2026 (Kampagne öffentlich) | 2024 (Kampagne bekannt) |
| Gegenmaßnahme | Google disrupted Infrastruktur, Feb. 2026 | US-Sanktionen gegen Einzelpersonen |
| Status 2026 | Kampagne gestoppt | Weiterhin in einigen US-Netzwerken aktiv |
Deutsche und europäische Telekoms in der Schusslinie
Google nannte keine spezifischen Opfernamen oder betroffenen europäischen Länder. Die geografische Reichweite der Kampagne, vier Kontinente und 42 bestätigte Länder, lässt jedoch keinen vernünftigen Grund zur Entwarnung für europäische Betreiber. Für Deutschland und den DACH-Raum ist die Bedrohung besonders relevant, weil deutsche Telekommunikationsunternehmen zu den größten und am stärksten vernetzten Anbietern Europas gehören.
Der BKA Cybercrime-Lagebericht 2025 dokumentierte 333.922 Cyberkriminalitätsfälle mit einem Gesamtschaden von 202 Milliarden Euro in Deutschland. Cyberangriffe auf Deutschland stiegen 2025 um 124 Prozent, wobei staatlich gesteuerte Akteure aus China und Russland einen wachsenden Anteil an gezielten Angriffen auf Infrastruktur ausmachen. Das BSI warnte in mehreren Lageberichten explizit vor chinesischen APT-Gruppen und deren Fähigkeit, über lange Zeiträume unentdeckt in Netzwerken zu verweilen.
Besonders besorgniserregend für europäische Sicherheitsexperten ist die Methode der GRIDTIDE-Backdoor. Da sie legitime Cloud-Dienste als C2 missbraucht, versagen traditionelle Sicherheitskontrollen, die auf Blacklists bekannter Malware-Infrastruktur basieren. Die Antwort liegt in verhaltensbasierter Erkennung und striktem Cloud-Egress-Monitoring, Maßnahmen, die viele mittelständische Telekommunikationsunternehmen noch nicht vollständig umgesetzt haben. Gerade die Kombination aus hoher Zahl potenzieller Angriffspunkte und geringer Erkennungswahrscheinlichkeit macht GRIDTIDE zu einem besonders effektiven Angriffswerkzeug.
KRITIS-Dachgesetz: Konsequenzen für Telekommunikationsanbieter
Der UNC2814-Angriff macht die Dringlichkeit des KRITIS-Dachgesetzes, das am 17. März 2026 in Kraft trat, noch deutlicher. Das Gesetz verpflichtet Betreiber kritischer Anlagen, die mehr als 500.000 Personen versorgen, zu umfassenden Resilienzmaßnahmen, Meldepflichten innerhalb von 24 Stunden bei Vorfällen und physischen Schutzmaßnahmen. Informationstechnologie und Telekommunikation sind explizit als kritischer Sektor aufgeführt.
Das Bundesinnenministerium veröffentlichte am 26. Mai 2026 den Referentenentwurf der KRITIS-Verordnung (KritisV), die konkretisiert, welche Anlagen als kritisch gelten. Die Kommentierungsfrist endete am 16. Juni 2026. Durch die neue Verordnung steigt die Zahl der betroffenen Betreiber von 1.400 auf 1.700, ein Anstieg von 21 Prozent. Der Kernmechanismus bleibt der bekannte Schwellenwert von 500.000 versorgten Personen.
Für Telekommunikationsanbieter bedeutet ein Angriff wie UNC2814 konkret: Sie müssen in der Lage sein, eine GRIDTIDE-artige Backdoor, die über Google Sheets kommuniziert, innerhalb weniger Stunden zu erkennen. Nur dann können sie die 24-Stunden-Meldepflicht erfüllen. Wer keine Detektionsfähigkeiten für Cloud-API-basierte C2-Kommunikation hat, ist faktisch nicht in der Lage, entsprechende Vorfälle fristgerecht zu melden. Bitkom, der Digitalverband, hatte in seiner Stellungnahme zum KRITIS-Dachgesetz betont, dass die Umsetzung bereits überfällig ist: Die nationale Frist vom 18. Oktober 2024 war gebrochen worden, und die EU-Kommission hatte daraufhin ein Vertragsverletzungsverfahren eingeleitet.
Schutzmaßnahmen: Was Unternehmen konkret tun können
Der UNC2814-Angriff zeigt eine klare Schwäche in der Sicherheitsarchitektur vieler Telekommunikationsunternehmen: Cloud-API-basierte C2-Kommunikation ist mit klassischen Erkennungsansätzen kaum zu finden. Folgende Maßnahmen helfen gegen GRIDTIDE-ähnliche Bedrohungen:
- Cloud-Egress-Monitoring: Ausgehende Verbindungen zu Cloud-Diensten wie Google Sheets, OneDrive oder Dropbox auf ungewöhnliche Muster analysieren, besonders automatisierte API-Aufrufe in regelmäßigen Intervallen von Systemen, die normalerweise keine solchen Verbindungen aufbauen
- Verhaltensbasierte Erkennung: EDR-Lösungen (Endpoint Detection and Response) einsetzen, die Prozessverhalten statt bekannte Signaturen prüfen, da GRIDTIDE keine bekannten Malware-Signaturen hinterlässt
- Netzwerksegmentierung: Kritische Systeme vom offenen Internet trennen und ausgehende Verbindungen auf ein definiertes Minimum reduzieren, mit expliziter Genehmigung für Cloud-API-Verbindungen
- Google Workspace-Audit-Logs: Ungewöhnliche API-Zugriffe auf Google Sheets aus nicht-autorisierten Systemen oder Dienstkonten erkennen und alarmieren
- Threat Intelligence einbinden: GRIDTIDE-Indicators of Compromise (IoCs), die Google GTIG an betroffene Organisationen übermittelt hat, in Sicherheitslösungen einspeisen
- Red-Team-Übungen: Cloud-basierte C2-Szenarien im eigenen Netzwerk testen, um Erkennungslücken zu identifizieren, bevor echte Angreifer sie ausnutzen
Für Unternehmen, die unter das KRITIS-Dachgesetz fallen, sollten Cloud-Egress-Monitoring und verhaltensbasierte Erkennung höchste Priorität haben. Die netzwerkbasierte Erkennung mit IDS-Lösungen wie Snort oder Suricata allein reicht für GRIDTIDE nicht aus, da der Datenverkehr über legitime HTTPS-Verbindungen zu bekannten Google-Servern läuft und damit nicht direkt als Angriff erkennbar ist.
Analyse: Was UNC2814 über chinesische Cyber-Strategie verrät
Der UNC2814-Angriff ist kein isoliertes Ereignis, sondern ein Baustein in einer systematischen chinesischen Cyber-Strategie, die seit Jahren konsequent verfolgt wird. Die Wahl von Telekommunikationsunternehmen als primäre Ziele ist kein Zufall. Telekoms sind ein Multiplikator: Ein einziger kompromittierter Anbieter öffnet potenziell den Zugang zu den Kommunikationsdaten von Tausenden oder Millionen Nutzern.
Die Nutzung von Google Sheets als C2-Kanal markiert einen technologischen Reifegrad, der Sicherheitsexperten beunruhigt. Es reicht nicht mehr, Verbindungen zu bekannten Malware-C2-Servern zu blocken. Angreifer auf dem Niveau von UNC2814 nutzen bewusst legitime, weitverbreitete und schwer blockierbare Cloud-Dienste. Der Vorteil: Selbst wenn eine Organisation alle Google-Dienste sperren wollte, würde sie damit erhebliche Geschäftsfunktionen beeinträchtigen. Die Angreifer nutzen also die Abhängigkeit moderner Unternehmen von Cloud-Diensten als Waffe.
Google beschrieb die Kampagne als Ergebnis eines “jahrzehntelangen konzentrierten Aufwands.” Das verweist auf eine entscheidende Asymmetrie: Staatliche Angreifer können über Jahre hinweg Ressourcen investieren, um Zugang zu aufzubauen und Fähigkeiten zu entwickeln. Für Verteidiger bedeutet das, dass sie nicht auf einmalige Disruptions-Aktionen hoffen dürfen, sondern strukturelle Verteidigungsmaßnahmen aufbauen müssen, die dauerhaft wirksam sind. Googles Intervention stoppte diese spezifische Kampagne, aber UNC2814 als Gruppe bleibt handlungsfähig.
5 Prognosen: Was Sicherheitsexperten jetzt erwarten
Basierend auf der aktuellen Datenlage und den dokumentierten Verhaltensmustern chinesischer APT-Gruppen lassen sich fünf konkrete Entwicklungen für die kommenden 12 Monate prognostizieren:
- UNC2814 entwickelt neue Cloud-C2-Methoden: Nach Googles Disruption wird die Gruppe neue Cloud-Dienste oder andere legitime APIs als C2-Kanal testen. Kandidaten sind Microsoft OneDrive-APIs, GitHub-Repositories, Dropbox oder andere populäre SaaS-Plattformen. Sicherheitsteams sollten alle ausgehenden Cloud-API-Verbindungen als potenzielle C2-Kanäle behandeln, nicht nur Google-Dienste.
- Europäische Telekoms geraten stärker ins Visier: Die aktuelle Kampagne war schwerpunktmäßig in Afrika, Asien und Amerika aktiv. Mit wachsendem strategischem Interesse Chinas an europäischen Kommunikationsdaten, besonders im Kontext geopolitischer Spannungen um Taiwan und Handelskonflikte, ist eine stärkere Fokussierung auf europäische Betreiber in den nächsten 12 Monaten wahrscheinlich.
- KRITIS-Meldepflichten verbessern den Informationsaustausch: Das KRITIS-Dachgesetz verpflichtet betroffene Betreiber zu 24-Stunden-Meldungen. Wenn ein deutsches Telekommunikationsunternehmen von einem UNC2814-ähnlichen Angriff betroffen ist, muss das BSI schnell informiert werden. Das schafft die strukturelle Grundlage für besseren Informationsaustausch zwischen Betreibern und Behörden, vorausgesetzt die Detektionsfähigkeiten stimmen.
- Hyperscaler übernehmen aktivere Rolle in der Cyber-Abwehr: Googles Bereitschaft, aktiv in die Angreiferinfrastruktur einzugreifen, setzt einen Präzedenzfall. Microsoft, Amazon und andere Cloud-Anbieter dürften ähnliche Ansätze entwickeln, um staatliche Akteure zu stören, die ihre Plattformen als Angriffswerkzeug missbrauchen. Das verändert die Dynamik staatlicher Cyber-Operationen grundlegend.
- KI-gestützte Erkennung wird unverzichtbar: Die Zunahme hochentwickelter Angriffsmethoden wie GRIDTIDE, die klassische Erkennungsmethoden umgehen, macht KI-gestützte Verhaltensanalyse zur Pflicht für Betreiber kritischer Infrastruktur. Regelbasierte Systeme allein reichen nicht mehr aus, wenn Angreifer legitime Cloud-APIs als C2 nutzen.
Verwandte Berichte
Weiterführende Artikel auf shattered.io
- APT28 hackt TP-Link-Router in Deutschland: 30 Geräte kompromittiert, 15 Länder warnen
- BKA Cybercrime-Lagebericht 2025: 333.922 Fälle, 202 Mrd. Euro Schaden
- Deutschland: Cyberangriffe steigen 2025 um 124 Prozent
- KRITIS-Dachgesetz 2026: 1 Mio. Euro Bußgeld, 17. Juli Deadline
- Snort vs Suricata: IDS-Vergleich für kritische Netzwerküberwachung
Quellen und weiterführende Informationen
- SecurityWeek: Google Disrupts Chinese Cyberespionage Campaign Targeting Telecoms, Governments
- Security Affairs: Google GTIG disrupted China-linked APT UNC2814, halting attacks on 53 orgs in 42 countries
- Industrial Cyber: UNC2814 exploited Google Sheets API for Stealth C2 targeting Telecom and Government Networks
- Cybersecurity Dive: China-linked hackers breached dozens of telecoms, governments via Google Sheets
- CybelAngel: Cyber Espionage and Chinese APT Groups in 2026
Häufig gestellte Fragen zu UNC2814 und GRIDTIDE
Was ist UNC2814?
UNC2814, auch als “Gallium” bekannt, ist eine chinesische Cyber-Spionagegruppe, die seit mindestens 2017 aktiv ist. Die Gruppe greift vorrangig Telekommunikationsanbieter und Regierungsbehörden an. Im Februar 2026 stoppte Google eine UNC2814-Kampagne, die 53 Organisationen in 42 Ländern auf vier Kontinenten kompromittiert hatte. Google klassifiziert die Gruppe als mutmaßlich im Auftrag der Volksrepublik China handelnd.
Was ist die GRIDTIDE-Backdoor?
GRIDTIDE ist eine neuartige Backdoor-Malware, die UNC2814 in der Kampagne vom Februar 2026 einsetzte. Das Besondere an GRIDTIDE: Die Malware nutzt die legitime Google Sheets API als Kommando- und Kontrollkanal, um sich in normalem Cloud-Traffic zu verstecken. Klassische Sicherheitslösungen, die auf bekannte Malware-Infrastruktur prüfen, erkennen GRIDTIDE nicht, weil die Kommunikation über legitime Google-Server läuft.
Sind deutsche Telekommunikationsanbieter von UNC2814 betroffen?
Google nannte keine konkreten Opfernamen oder betroffenen europäischen Länder. Die Kampagne betraf jedoch vier Kontinente und 42 bestätigte Länder. Verdacht besteht in mindestens 22 weiteren Ländern. Da Deutschland zu den wichtigsten Telekommunikationsmärkten Europas gehört und UNC2814 gezielt Telekommunikationsanbieter angreift, können deutsche Unternehmen nicht ausgeschlossen werden. Google informierte alle bekannten Opfer direkt.
Wie kann ich GRIDTIDE-Infektionen erkennen?
GRIDTIDE-Infektionen lassen sich durch verhaltensbasierte Erkennung und Cloud-Egress-Monitoring aufspüren. Konkrete Hinweise sind ungewöhnliche automatisierte API-Aufrufe an Google Sheets aus Systemen, die normalerweise keine solchen Verbindungen aufbauen, sowie Shell-Prozesse, die von unerwarteten Parent-Prozessen gestartet werden. Google GTIG hat technische Indikatoren (IoCs) an betroffene Organisationen übermittelt. Unternehmen sollten diese bei Google GTIG oder ihrem CERT anfordern.
Was bedeutet der UNC2814-Angriff für das KRITIS-Dachgesetz?
Telekommunikationsanbieter, die unter das KRITIS-Dachgesetz (in Kraft seit 17. März 2026) fallen, müssen Vorfälle innerhalb von 24 Stunden melden. Ein GRIDTIDE-ähnlicher Angriff, der nicht erkannt wird, weil klassische Erkennungsmethoden versagen, würde diese Meldepflicht faktisch unmöglich machen. Das Gesetz setzt damit implizit voraus, dass Betreiber über Detektionsfähigkeiten verfügen, die auch Cloud-basierte C2-Kommunikation erkennen können. Anbieter, die nur auf Signatur-basierte Erkennung setzen, erfüllen diese Anforderung nicht.
Was ist der Unterschied zwischen UNC2814 und Salt Typhoon?
Beide Gruppen greifen Telekommunikationsinfrastruktur an, aber mit unterschiedlichem Ansatz. Salt Typhoon konzentrierte sich auf tiefe Penetration hochprioritärer Ziele in den USA, mit bestätigtem Diebstahl von Anrufmetadaten von mehr als einer Million Personen. UNC2814 hingegen breitet sich auf 42 bestätigte Länder aus und nutzt eine Cloud-basierte C2-Methode über Google Sheets. Salt Typhoon ist 2026 noch aktiv in einigen US-Netzwerken, während Googles Disruption die UNC2814-Kampagneninfrastruktur im Februar 2026 stoppte.
Wie hat Google die UNC2814-Kampagne gestoppt?
Google GTIG, Mandiant und Partner schalteten um den 18. Februar 2026 alle Google Cloud-Projekte ab, die UNC2814 kontrollierte, neutralisierten die externe Angreiferinfrastruktur und deaktivierten Konten, die für den Google-Sheets-basierten C2-Betrieb genutzt wurden. Am 25. Februar 2026 veröffentlichte Google einen detaillierten Bericht über die Kampagne und informierte alle bekannten Opfer. Die Disruption war möglich, weil Google als Plattformbetreiber direkten Zugang zur missbrauchten Infrastruktur hatte.
