{"id":296,"date":"2026-06-21T08:00:00","date_gmt":"2026-06-21T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/21\/unc2814-gallium-google-telekommunikation-42-laender-2026\/"},"modified":"2026-06-21T20:25:00","modified_gmt":"2026-06-21T20:25:00","slug":"unc2814-gallium-google-telekommunikation-42-laender-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/21\/unc2814-gallium-google-telekommunikation-42-laender-2026\/","title":{"rendered":"UNC2814: Google stoppt chinesische Spionage gegen 53 Telekoms in 42 L\u00e4ndern [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Am 25. Februar 2026 enth\u00fcllte Google eine der weitreichendsten chinesischen Spionagekampagnen des Jahrzehnts. Die Hacker-Gruppe <strong>UNC2814<\/strong>, von Reuters auch als &#8220;Gallium&#8221; bezeichnet, hatte bis zu diesem Zeitpunkt <strong>53 Organisationen in 42 L\u00e4ndern<\/strong> auf vier Kontinenten kompromittiert. Verd\u00e4chtige Aktivit\u00e4ten lagen in mindestens <strong>22 weiteren L\u00e4ndern<\/strong> vor. Googles Threat Intelligence Group (GTIG) stoppte den Angriff gemeinsam mit Mandiant und internationalen Partnern durch die Zerschlagung der Angreiferinfrastruktur. Der Schl\u00fcssel zum Erfolg der Angreifer: Sie nutzten <strong>Google Sheets als Befehls- und Kontrollkanal<\/strong>, um sich in normalem Cloud-Traffic zu verstecken.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"unc2814-der-angriff-in-zahlen\">UNC2814: Der Angriff in Zahlen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Dimension dieser Kampagne ist bemerkenswert. Google GTIG best\u00e4tigte in seinem Bericht, dass UNC2814 seit mindestens 2017 aktiv ist. Die Gruppe beschrieb Google als zugleich <strong>&#8220;prolific&#8221;<\/strong> (\u00e4u\u00dferst aktiv) und <strong>&#8220;elusive&#8221;<\/strong> (schwer zu fassen). Die j\u00fcngste Kampagne traf Telekommunikationsunternehmen und Regierungsbeh\u00f6rden in Afrika, Asien und Amerika, mit Verdacht auf weitere Aktivit\u00e4ten in Europa. Die Zahlen sprechen f\u00fcr sich:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>53 kompromittierte Organisationen<\/strong> in 42 L\u00e4ndern best\u00e4tigt<\/li>\n<li><strong>22 weitere L\u00e4nder<\/strong> mit verd\u00e4chtigen Infektionsanzeichen<\/li>\n<li><strong>4 Kontinente<\/strong> betroffen: Afrika, Asien, Amerika, Europa<\/li>\n<li>Gruppe aktiv seit mindestens <strong>2017<\/strong>, fast ein Jahrzehnt unentdeckt<\/li>\n<li>Eingesetzte Backdoor: <strong>GRIDTIDE<\/strong>, neu und bisher nicht \u00f6ffentlich bekannt<\/li>\n<li>Google beschreibt den Aufwand als Ergebnis eines <strong>&#8220;jahrzehntelangen konzentrierten Einsatzes&#8221;<\/strong><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Charley Snyder, Senior Manager des Google Threat Intelligence Group, erkl\u00e4rte gegen\u00fcber Reuters: <em>&#8220;Die Gruppe hatte best\u00e4tigten Zugang zu 53 nicht namentlich genannten Einrichtungen in 42 L\u00e4ndern, mit m\u00f6glichem Zugang in mindestens 22 weiteren L\u00e4ndern zum Zeitpunkt unserer Intervention.&#8221;<\/em> Google disruptierte die Kampagne durch das Abschalten der kontrollierten Google Cloud-Projekte, das Neutralisieren der Angreiferinfrastruktur und das Deaktivieren der Konten, die f\u00fcr den Zugriff auf Google Sheets verwendet wurden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr den DACH-Raum ist diese Meldung besonders relevant, da Deutschland, \u00d6sterreich und die Schweiz zu den Regionen geh\u00f6ren, \u00fcber die Google keine expliziten Angaben machte. Gleichzeitig sind die gro\u00dfen deutschen Telekommunikationsanbieter, Deutsche Telekom, Vodafone Deutschland und Telef\u00f3nica Deutschland, Teil der globalen Telekommunikationsinfrastruktur, die UNC2814 systematisch anvisiert. Die Dunkelziffer d\u00fcrfte h\u00f6her sein als die 53 best\u00e4tigten F\u00e4lle.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"gridtide-die-backdoor-die-google-sheets-als-waffe-nutzt\">GRIDTIDE: Die Backdoor, die Google Sheets als Waffe nutzt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das technische Herzst\u00fcck der Kampagne war die bislang unbekannte Backdoor <strong>GRIDTIDE<\/strong>. Mandiant entdeckte sie bei der Analyse kompromittierter Systeme und dokumentierte eine au\u00dfergew\u00f6hnliche Arbeitsweise: GRIDTIDE nutzt nicht eigene Server als Kommandozentrale, sondern missbraucht die legitime <strong>Google Sheets API<\/strong>, um Befehle zu empfangen und Daten zu \u00fcbertragen. Das Tabellenkalkulationsprogramm wird dabei nicht als Dokument benutzt, sondern als Kommunikationskanal f\u00fcr Rohdaten und Shell-Befehle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Google und Mandiant stellten in ihrem gemeinsamen Bericht klar: <em>&#8220;Diese Aktivit\u00e4t ist kein Ergebnis einer Sicherheitsl\u00fccke in Google-Produkten; vielmehr missbraucht sie die legitime Google Sheets API-Funktionalit\u00e4t, um den C2-Traffic zu verschleiern.&#8221;<\/em> Der Trick ist technisch elegant. Da Millionen von Unternehmen t\u00e4glich Google Sheets verwenden, f\u00e4llt der Datenverkehr der Backdoor im normalen Netzwerk-Monitoring nicht auf. Security-Tools, die auf Blacklists bekannter Malware-Infrastruktur basieren, schlagen nicht an, weil die Kommunikation \u00fcber eine legitime, weit verbreitete Cloud-Plattform l\u00e4uft.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"technische-funktionen-von-gridtide-im-detail\">Technische Funktionen von GRIDTIDE im Detail<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">GRIDTIDE bietet Angreifern drei Kernfunktionen: die Ausf\u00fchrung beliebiger Shell-Befehle auf dem kompromittierten System, das Hoch- und Herunterladen von Dateien sowie die Persistenz \u00fcber System-Neustarts hinaus. Mandiant beschreibt die Backdoor als in der Lage, <em>&#8220;ein Google-Spreadsheet nicht als Dokument, sondern als Kommunikationskanal f\u00fcr den Transfer von Rohdaten und Shell-Befehlen zu behandeln.&#8221;<\/em> Das bedeutet, dass ein Angreifer von einem einzigen Google-Konto aus Hunderte von kompromittierten Systemen weltweit steuern kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auf einem der untersuchten kompromittierten Systeme fanden Google-Forscher pers\u00f6nliche Daten: vollst\u00e4ndige Namen, Telefonnummern, Geburtsdaten, Geburtsorte, W\u00e4hler-IDs und nationale Ausweisdaten. Google wertet dies als Hinweis darauf, dass UNC2814 versuchte, bestimmte Personen zu identifizieren, zu verfolgen und zu \u00fcberwachen. Das Ziel war demnach nicht der Diebstahl von Unternehmensgeheimnissen, sondern die Erstellung von Ziel-Profilen f\u00fcr nachrichtendienstliche Zwecke.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>Details<\/th><\/tr><\/thead><tbody><tr><td>Backdoor-Name<\/td><td>GRIDTIDE<\/td><\/tr><tr><td>C2-Kanal<\/td><td>Google Sheets API (missbrauchte Legitimfunktion)<\/td><\/tr><tr><td>Kernfunktionen<\/td><td>Shell-Befehle ausf\u00fchren, Datei-Upload\/Download, Persistenz<\/td><\/tr><tr><td>Entdeckt durch<\/td><td>Google GTIG \/ Mandiant, Februar 2026<\/td><\/tr><tr><td>Beobachtete Datentypen auf Zielsystemen<\/td><td>Namen, Geburtsdaten, Telefonnummern, W\u00e4hler-IDs, Ausweis-IDs<\/td><\/tr><tr><td>Erkennungsmethode erforderlich<\/td><td>Verhaltensbasierte Analyse, Cloud-Egress-Monitoring<\/td><\/tr><tr><td>Gruppe aktiv seit<\/td><td>Mindestens 2017<\/td><\/tr><tr><td>Prim\u00e4re Angriffsziele<\/td><td>Telekommunikationsanbieter, Regierungsbeh\u00f6rden<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wer-steckt-hinter-unc2814-alias-gallium\">Wer steckt hinter UNC2814 alias Gallium?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Google klassifiziert UNC2814 als <em>&#8220;suspected People&#8217;s Republic of China (PRC)-nexus cyber espionage group&#8221;<\/em>, also als Gruppe mit mutma\u00dflicher Verbindung zur Volksrepublik China. Reuters bezeichnete dieselbe Gruppe unter dem Namen <strong>&#8220;Gallium&#8221;<\/strong>, einem Bezeichner, der in westlichen Geheimdienstkreisen und bei Sicherheitsforschern gebr\u00e4uchlich ist. Die Gruppe operiert seit mindestens 2017 und hat in fast einem Jahrzehnt kontinuierlich ihre F\u00e4higkeiten ausgebaut.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Einordnung in das chinesische APT-\u00d6kosystem ist vielschichtig. Chinesische Cyber-Akteure agieren in einem Geflecht aus milit\u00e4rischen Einheiten der Volksbefreiungsarmee (PLA), dem Ministerium f\u00fcr Staatssicherheit (MSS) und privaten Auftragnehmern. UNC2814 \/ Gallium zeigt typische Merkmale eines MSS-nahen Akteurs: Der Fokus liegt auf Informationsgewinnung, nicht auf finanziellen Motiven oder destruktiven Aktionen. Die Zielauswahl, Telekommunikationsanbieter und Regierungsstellen, passt zur klassischen Nachrichtendienstarbeit, bei der Gespr\u00e4chsmetadaten, \u00dcberwachungssysteme und Personendaten strategischen Wert haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das <em>2026 Annual Threat Assessment<\/em> der US-amerikanischen Intelligence Community stuft China als <em>&#8220;the most active and persistent cyber threat to U.S. Government, private-sector, and critical infrastructure networks&#8221;<\/em> ein. Laut diesem Bericht handeln chinesische Cyber-Akteure aus klar definierten politischen, wirtschaftlichen und milit\u00e4rischen Interessen. UNC2814 ist damit kein opportunistischer Akteur, sondern Teil einer staatlich gesteuerten Langzeitstrategie.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-ziele-telekoms-und-behoerden-auf-vier-kontinenten\">Die Ziele: Telekoms und Beh\u00f6rden auf vier Kontinenten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">UNC2814 hat laut Google eine <em>&#8220;lange Geschichte der gezielten Angriffe auf internationale Regierungen und globale Telekommunikationsorganisationen in Afrika, Asien und Amerika.&#8221;<\/em> Die Kampagne des Jahres 2026 untermauert dieses Profil eindr\u00fccklich. Besonders auff\u00e4llig ist die geografische Streuung: 42 best\u00e4tigte Ziell\u00e4nder auf vier Kontinenten zeigen, dass UNC2814 nicht auf bestimmte Regionen beschr\u00e4nkt ist, sondern gezielt nach Telekommunikationsinfrastruktur und Regierungsnetzwerken weltweit sucht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Warum sind Telekommunikationsanbieter so attraktive Ziele f\u00fcr staatliche Spionage? Sie sind das R\u00fcckgrat moderner Kommunikationsinfrastruktur. Wer Zugang zu Telekommunikationsnetzwerken hat, kann potenziell Anrufmetadaten im gro\u00dfen Ma\u00dfstab sammeln, also wer wann wen anrief. Hinzu kommt der m\u00f6gliche Zugriff auf unverschl\u00fcsselte SMS-Nachrichten, besonders \u00fcber veraltete 2G- und 3G-Verbindungen. Am gef\u00e4hrlichsten ist der potenzielle Missbrauch gesetzlicher Abh\u00f6rsysteme, sogenannter Lawful-Intercept-Systeme, die eigentlich f\u00fcr staatliche Strafverfolgung gedacht sind. Ein Angreifer, der Zugang zu diesen Systemen gelangt, kann staatliche \u00dcberwachungsinfrastruktur gegen andere Staaten verwenden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Google GTIG merkte in seinem Bericht an, dass bei der aktuellen Kampagne keine direkte Datenexfiltration beobachtet wurde. Allerdings h\u00e4lt das Unternehmen fest: <em>&#8220;Historische PRC-Spionageoperationen gegen Telekoms haben zum Diebstahl von Anrufdatens\u00e4tzen, unverschl\u00fcsselten SMS-Nachrichten und zur Kompromittierung gesetzlicher Abh\u00f6rsysteme gef\u00fchrt.&#8221;<\/em> Das Muster ist damit klar: GRIDTIDE wurde als Vorbereitungs- und Positionierungswerkzeug eingesetzt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wie-google-die-kampagne-stoppte\">Wie Google die Kampagne stoppte<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Disruption der UNC2814-Kampagne war eine koordinierte, mehrstufige Operation. Google GTIG arbeitete mit Mandiant und nicht namentlich genannten internationalen Partnern zusammen, um die Angreiferinfrastruktur vollst\u00e4ndig zu zerschlagen. Laut Googles Ver\u00f6ffentlichung vom 25. Februar 2026 wurden die Ma\u00dfnahmen bereits um den 18. Februar 2026 ergriffen, also eine Woche vor der \u00f6ffentlichen Bekanntmachung. Google handelte schnell, sobald die Kampagne vollst\u00e4ndig dokumentiert war.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die drei konkreten Ma\u00dfnahmen: Erstens schaltete Google alle Google Cloud-Projekte ab, die unter UNC2814s Kontrolle standen und als Teil der Angriffsinfrastruktur dienten. Zweitens identifizierte und neutralisierte das Unternehmen gemeinsam mit Partnern die Internetinfrastruktur der Angreifer au\u00dferhalb der eigenen Plattform. Drittens deaktivierte Google alle Konten, die f\u00fcr den Betrieb der GRIDTIDE-Backdoor \u00fcber Google Sheets genutzt wurden. Im Anschluss informierte Google alle bekannten Opfer direkt und bot Unterst\u00fctzung bei der Incident Response an.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"die-bedeutung-von-googles-aktivem-eingreifen\">Die Bedeutung von Googles aktivem Eingreifen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Googles Intervention in dieser Kampagne ist bemerkenswert. Der Konzern nutzte seine einzigartige Position als Betreiber der missbrauchten Infrastruktur, um aktiv einzugreifen. Das unterscheidet diesen Fall von vielen anderen APT-Enth\u00fcllungen, bei denen Sicherheitsfirmen lediglich berichten, aber nicht direkt handeln k\u00f6nnen. Die Fusion von Mandiant (\u00fcbernommen 2022 f\u00fcr 5,4 Milliarden US-Dollar) mit Googles Threat Analysis Group zur GTIG hat genau diese Kombination aus Erkennungskompetenz und Handlungsf\u00e4higkeit geschaffen. F\u00fcr staatliche Angreifer bedeutet das: Die Nutzung kommerzieller Cloud-Dienste als Angriffsinfrastruktur birgt das Risiko, dass der Plattformbetreiber selbst eingreift.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-gestohlen-wurde-und-was-nicht\">Was gestohlen wurde und was nicht<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Google GTIG war in seiner Darstellung pr\u00e4zise \u00fcber die Grenzen der eigenen Erkenntnisse. Das Unternehmen erkl\u00e4rte ausdr\u00fccklich, dass bei der aktuellen UNC2814-Kampagne <strong>keine direkte Datenexfiltration beobachtet<\/strong> wurde. Das bedeutet jedoch nicht, dass nichts gestohlen wurde, sondern nur, dass Google es bei der Analyse der bekannten Systeme nicht beobachtete. Auf einem untersuchten kompromittierten System lagen pers\u00f6nliche Daten: vollst\u00e4ndige Namen, Telefonnummern, Geburtsdaten, Geburtsorte, W\u00e4hler-IDs und nationale Ausweisdaten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die historische Einordnung ist entscheidend: Fr\u00fchere, vergleichbare chinesische Spionagekampagnen gegen Telekommunikationsunternehmen f\u00fchrten nachweislich zu konkreten Datendiebst\u00e4hlen. Bei der Salt-Typhoon-Kampagne aus dem Jahr 2024 wurden beispielsweise Anrufmetadaten von mehr als einer Million Personen gestohlen, darunter Kommunikationsdaten von US-Regierungsbeamten. Dazu kamen unverschl\u00fcsselte SMS-Nachrichten und in einigen F\u00e4llen Zugang zu Lawful-Intercept-Systemen. Es ist daher plausibel anzunehmen, dass UNC2814 mit GRIDTIDE \u00e4hnliche Ziele verfolgte und die Kampagne vor dem Erreichen dieser Ziele gestoppt wurde.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"unc2814-im-kontext-chinesische-apt-gruppen-2026\">UNC2814 im Kontext: Chinesische APT-Gruppen 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">UNC2814 ist kein Einzelfall, sondern Teil eines massiven Musters chinesischer Cyber-Spionage im Jahr 2026. Laut einer Analyse von CybelAngel hat Salt Typhoon allein 2026 Netzwerke in mehr als <strong>80 L\u00e4ndern<\/strong> kompromittiert, von Telekommunikation \u00fcber Transport bis hin zu Regierungseinrichtungen. In Singapur gab die Regierung bekannt, dass eine China-nahe Gruppe alle vier gro\u00dfen Telekommunikationsanbieter des Stadtstaates angegriffen hatte. In Europa dokumentierte ESET die Aktivit\u00e4ten der FishMonger-Gruppe (I-SOON) bei Angriffen auf Regierungen, NGOs und Think Tanks in Ungarn, Frankreich und der T\u00fcrkei.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das ASEC Threat Trend Report f\u00fcr Mai 2026 identifizierte Supply-Chain-Angriffe, Angriffe auf Entwicklerumgebungen und die Exploitation von Runtime-Umgebungen als wesentliche Trends im APT-Bereich. Wiederholt angegriffene Sektoren decken sich mit UNC2814s Zielprofil: Telekommunikation, Regierung, Verteidigung, Diplomatie und Bildung. Besonders auff\u00e4llig in dem Bericht: Die Nutzung von Cloud-Services und legitimen Remote-Management-Tools als C2-Infrastruktur wurde <em>&#8220;selbst in den letzten Monaten noch ausgepr\u00e4gter.&#8221;<\/em> GRIDTIDE ist damit Ausdruck eines Branchentrends unter staatlichen Hackern.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>APT-Gruppe<\/th><th>Alias<\/th><th>Aktiv seit<\/th><th>Betroffene L\u00e4nder 2025\/2026<\/th><th>Angriffsmethode<\/th><th>Hauptziele<\/th><\/tr><\/thead><tbody><tr><td>UNC2814<\/td><td>Gallium<\/td><td>2017<\/td><td>42 best\u00e4tigt, 22+ vermutet<\/td><td>GRIDTIDE via Google Sheets API<\/td><td>Telekoms, Beh\u00f6rden<\/td><\/tr><tr><td>Salt Typhoon<\/td><td>Liminal Panda<\/td><td>2024<\/td><td>80+<\/td><td>Lawful Intercept Missbrauch<\/td><td>Telekoms, US-Regierungsbeh\u00f6rden<\/td><\/tr><tr><td>FishMonger<\/td><td>Aquatic Panda, Earth Lusca<\/td><td>2019<\/td><td>USA, Frankreich, Ungarn, T\u00fcrkei u. a.<\/td><td>ShadowPad, SodaMaster, Cobalt Strike<\/td><td>Regierungen, NGOs, Think Tanks<\/td><\/tr><tr><td>APT28<\/td><td>Fancy Bear (Russland)<\/td><td>2000er<\/td><td>15+ (inkl. Deutschland)<\/td><td>TP-Link-Router-Exploits<\/td><td>WLAN-Infrastruktur, SOHO-Router<\/td><\/tr><tr><td>VerdantBamboo<\/td><td>UNC5221<\/td><td>Unbekannt<\/td><td>Mehrere<\/td><td>18+ Monate Persistenz, Remediation-\u00fcberstehend<\/td><td>Enterprise-Netzwerke<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"der-vergleich-unc2814-vs-salt-typhoon\">Der Vergleich: UNC2814 vs. Salt Typhoon<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um die Bedeutung von UNC2814 einzuordnen, lohnt ein direkter Vergleich mit Salt Typhoon, der chinesischen Gruppe, die 2024 mit dem Angriff auf mindestens acht US-Telekommunikationsanbieter, darunter AT&amp;T, Verizon und Lumen Technologies, f\u00fcr weltweite Schlagzeilen sorgte. Beide Gruppen verfolgen das gleiche Prim\u00e4rziel, Telekommunikationsinfrastruktur anzugreifen. Sie unterscheiden sich jedoch erheblich in Methode, geografischem Schwerpunkt und den bisher dokumentierten Ergebnissen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Salt Typhoon ist laut US-Geheimdiensten bis heute in einigen US-Netzwerken aktiv. Im Jahr 2026 wurden frische Kompromittierungen bei Konten des US-Repr\u00e4sentantenhauses best\u00e4tigt. Salt Typhoon hatte nachweislich Metadaten von mehr als einer Million Personen abgegriffen. UNC2814 hingegen zeigte eine breitere geografische Streuung \u00fcber 42 best\u00e4tigte L\u00e4nder, mit m\u00f6glicherweise weniger tiefer Penetration einzelner Ziele. Der entscheidende Unterschied ist der Ausgang: Googles Intervention stoppte UNC2814s laufende Infrastruktur, w\u00e4hrend Salt Typhoon in mehreren Netzwerken weiterhin pr\u00e4sent ist.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Aspekt<\/th><th>UNC2814 \/ Gallium<\/th><th>Salt Typhoon<\/th><\/tr><\/thead><tbody><tr><td>Betroffene L\u00e4nder<\/td><td>42 best\u00e4tigt (Feb. 2026)<\/td><td>80+ (Stand 2026)<\/td><\/tr><tr><td>Kompromittierte Org.<\/td><td>53 (+22 L\u00e4nder vermutet)<\/td><td>8+ US-Telekoms, Regierungsbeh\u00f6rden<\/td><\/tr><tr><td>C2-Methode<\/td><td>Google Sheets API (GRIDTIDE)<\/td><td>Eigene Infrastruktur, Lawful Intercept<\/td><\/tr><tr><td>Prim\u00e4res Ziel<\/td><td>Telekoms und Beh\u00f6rden global<\/td><td>Telekoms, \u00dcberwachungssysteme USA<\/td><\/tr><tr><td>Best\u00e4tigte Datenexfiltration<\/td><td>Nicht direkt beobachtet (Feb. 2026)<\/td><td>Anrufmetadaten von 1 Mio.+ Personen<\/td><\/tr><tr><td>Bekannt seit<\/td><td>2017 (Gruppe), Feb. 2026 (Kampagne \u00f6ffentlich)<\/td><td>2024 (Kampagne bekannt)<\/td><\/tr><tr><td>Gegenma\u00dfnahme<\/td><td>Google disrupted Infrastruktur, Feb. 2026<\/td><td>US-Sanktionen gegen Einzelpersonen<\/td><\/tr><tr><td>Status 2026<\/td><td>Kampagne gestoppt<\/td><td>Weiterhin in einigen US-Netzwerken aktiv<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"deutsche-und-europaeische-telekoms-in-der-schusslinie\">Deutsche und europ\u00e4ische Telekoms in der Schusslinie<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Google nannte keine spezifischen Opfernamen oder betroffenen europ\u00e4ischen L\u00e4nder. Die geografische Reichweite der Kampagne, vier Kontinente und 42 best\u00e4tigte L\u00e4nder, l\u00e4sst jedoch keinen vern\u00fcnftigen Grund zur Entwarnung f\u00fcr europ\u00e4ische Betreiber. F\u00fcr Deutschland und den DACH-Raum ist die Bedrohung besonders relevant, weil deutsche Telekommunikationsunternehmen zu den gr\u00f6\u00dften und am st\u00e4rksten vernetzten Anbietern Europas geh\u00f6ren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der <a href=\"\/de\/bka-cybercrime-lagebericht-2025\/\">BKA Cybercrime-Lagebericht 2025<\/a> dokumentierte 333.922 Cyberkriminalit\u00e4tsf\u00e4lle mit einem Gesamtschaden von 202 Milliarden Euro in Deutschland. <a href=\"\/de\/deutschland-cyberangriffe-124-prozent-dach-2026\/\">Cyberangriffe auf Deutschland stiegen 2025 um 124 Prozent<\/a>, wobei staatlich gesteuerte Akteure aus China und Russland einen wachsenden Anteil an gezielten Angriffen auf Infrastruktur ausmachen. Das BSI warnte in mehreren Lageberichten explizit vor chinesischen APT-Gruppen und deren F\u00e4higkeit, \u00fcber lange Zeitr\u00e4ume unentdeckt in Netzwerken zu verweilen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders besorgniserregend f\u00fcr europ\u00e4ische Sicherheitsexperten ist die Methode der GRIDTIDE-Backdoor. Da sie legitime Cloud-Dienste als C2 missbraucht, versagen traditionelle Sicherheitskontrollen, die auf Blacklists bekannter Malware-Infrastruktur basieren. Die Antwort liegt in verhaltensbasierter Erkennung und striktem Cloud-Egress-Monitoring, Ma\u00dfnahmen, die viele mittelst\u00e4ndische Telekommunikationsunternehmen noch nicht vollst\u00e4ndig umgesetzt haben. Gerade die Kombination aus hoher Zahl potenzieller Angriffspunkte und geringer Erkennungswahrscheinlichkeit macht GRIDTIDE zu einem besonders effektiven Angriffswerkzeug.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"kritis-dachgesetz-konsequenzen-fuer-telekommunikationsanbieter\">KRITIS-Dachgesetz: Konsequenzen f\u00fcr Telekommunikationsanbieter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der UNC2814-Angriff macht die Dringlichkeit des <a href=\"\/de\/kritis-dachgesetz-2026\/\">KRITIS-Dachgesetzes<\/a>, das am 17. M\u00e4rz 2026 in Kraft trat, noch deutlicher. Das Gesetz verpflichtet Betreiber kritischer Anlagen, die mehr als 500.000 Personen versorgen, zu umfassenden Resilienzma\u00dfnahmen, Meldepflichten innerhalb von 24 Stunden bei Vorf\u00e4llen und physischen Schutzma\u00dfnahmen. Informationstechnologie und Telekommunikation sind explizit als kritischer Sektor aufgef\u00fchrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Bundesinnenministerium ver\u00f6ffentlichte am 26. Mai 2026 den Referentenentwurf der KRITIS-Verordnung (KritisV), die konkretisiert, welche Anlagen als kritisch gelten. Die Kommentierungsfrist endete am 16. Juni 2026. Durch die neue Verordnung steigt die Zahl der betroffenen Betreiber von 1.400 auf <strong>1.700<\/strong>, ein Anstieg von 21 Prozent. Der Kernmechanismus bleibt der bekannte Schwellenwert von 500.000 versorgten Personen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Telekommunikationsanbieter bedeutet ein Angriff wie UNC2814 konkret: Sie m\u00fcssen in der Lage sein, eine GRIDTIDE-artige Backdoor, die \u00fcber Google Sheets kommuniziert, innerhalb weniger Stunden zu erkennen. Nur dann k\u00f6nnen sie die 24-Stunden-Meldepflicht erf\u00fcllen. Wer keine Detektionsf\u00e4higkeiten f\u00fcr Cloud-API-basierte C2-Kommunikation hat, ist faktisch nicht in der Lage, entsprechende Vorf\u00e4lle fristgerecht zu melden. Bitkom, der Digitalverband, hatte in seiner Stellungnahme zum KRITIS-Dachgesetz betont, dass die Umsetzung bereits \u00fcberf\u00e4llig ist: Die nationale Frist vom 18. Oktober 2024 war gebrochen worden, und die EU-Kommission hatte daraufhin ein Vertragsverletzungsverfahren eingeleitet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schutzmassnahmen-was-unternehmen-konkret-tun-koennen\">Schutzma\u00dfnahmen: Was Unternehmen konkret tun k\u00f6nnen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der UNC2814-Angriff zeigt eine klare Schw\u00e4che in der Sicherheitsarchitektur vieler Telekommunikationsunternehmen: Cloud-API-basierte C2-Kommunikation ist mit klassischen Erkennungsans\u00e4tzen kaum zu finden. Folgende Ma\u00dfnahmen helfen gegen GRIDTIDE-\u00e4hnliche Bedrohungen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cloud-Egress-Monitoring:<\/strong> Ausgehende Verbindungen zu Cloud-Diensten wie Google Sheets, OneDrive oder Dropbox auf ungew\u00f6hnliche Muster analysieren, besonders automatisierte API-Aufrufe in regelm\u00e4\u00dfigen Intervallen von Systemen, die normalerweise keine solchen Verbindungen aufbauen<\/li>\n<li><strong>Verhaltensbasierte Erkennung:<\/strong> EDR-L\u00f6sungen (Endpoint Detection and Response) einsetzen, die Prozessverhalten statt bekannte Signaturen pr\u00fcfen, da GRIDTIDE keine bekannten Malware-Signaturen hinterl\u00e4sst<\/li>\n<li><strong>Netzwerksegmentierung:<\/strong> Kritische Systeme vom offenen Internet trennen und ausgehende Verbindungen auf ein definiertes Minimum reduzieren, mit expliziter Genehmigung f\u00fcr Cloud-API-Verbindungen<\/li>\n<li><strong>Google Workspace-Audit-Logs:<\/strong> Ungew\u00f6hnliche API-Zugriffe auf Google Sheets aus nicht-autorisierten Systemen oder Dienstkonten erkennen und alarmieren<\/li>\n<li><strong>Threat Intelligence einbinden:<\/strong> GRIDTIDE-Indicators of Compromise (IoCs), die Google GTIG an betroffene Organisationen \u00fcbermittelt hat, in Sicherheitsl\u00f6sungen einspeisen<\/li>\n<li><strong>Red-Team-\u00dcbungen:<\/strong> Cloud-basierte C2-Szenarien im eigenen Netzwerk testen, um Erkennungsl\u00fccken zu identifizieren, bevor echte Angreifer sie ausnutzen<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Unternehmen, die unter das KRITIS-Dachgesetz fallen, sollten Cloud-Egress-Monitoring und verhaltensbasierte Erkennung h\u00f6chste Priorit\u00e4t haben. Die <a href=\"\/de\/snort-vs-suricata\/\">netzwerkbasierte Erkennung mit IDS-L\u00f6sungen wie Snort oder Suricata<\/a> allein reicht f\u00fcr GRIDTIDE nicht aus, da der Datenverkehr \u00fcber legitime HTTPS-Verbindungen zu bekannten Google-Servern l\u00e4uft und damit nicht direkt als Angriff erkennbar ist.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"analyse-was-unc2814-ueber-chinesische-cyber-strategie-verraet\">Analyse: Was UNC2814 \u00fcber chinesische Cyber-Strategie verr\u00e4t<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der UNC2814-Angriff ist kein isoliertes Ereignis, sondern ein Baustein in einer systematischen chinesischen Cyber-Strategie, die seit Jahren konsequent verfolgt wird. Die Wahl von Telekommunikationsunternehmen als prim\u00e4re Ziele ist kein Zufall. Telekoms sind ein Multiplikator: Ein einziger kompromittierter Anbieter \u00f6ffnet potenziell den Zugang zu den Kommunikationsdaten von Tausenden oder Millionen Nutzern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Nutzung von Google Sheets als C2-Kanal markiert einen technologischen Reifegrad, der Sicherheitsexperten beunruhigt. Es reicht nicht mehr, Verbindungen zu bekannten Malware-C2-Servern zu blocken. Angreifer auf dem Niveau von UNC2814 nutzen bewusst legitime, weitverbreitete und schwer blockierbare Cloud-Dienste. Der Vorteil: Selbst wenn eine Organisation alle Google-Dienste sperren wollte, w\u00fcrde sie damit erhebliche Gesch\u00e4ftsfunktionen beeintr\u00e4chtigen. Die Angreifer nutzen also die Abh\u00e4ngigkeit moderner Unternehmen von Cloud-Diensten als Waffe.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Google beschrieb die Kampagne als Ergebnis eines <em>&#8220;jahrzehntelangen konzentrierten Aufwands.&#8221;<\/em> Das verweist auf eine entscheidende Asymmetrie: Staatliche Angreifer k\u00f6nnen \u00fcber Jahre hinweg Ressourcen investieren, um Zugang zu aufzubauen und F\u00e4higkeiten zu entwickeln. F\u00fcr Verteidiger bedeutet das, dass sie nicht auf einmalige Disruptions-Aktionen hoffen d\u00fcrfen, sondern strukturelle Verteidigungsma\u00dfnahmen aufbauen m\u00fcssen, die dauerhaft wirksam sind. Googles Intervention stoppte diese spezifische Kampagne, aber UNC2814 als Gruppe bleibt handlungsf\u00e4hig.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-prognosen-was-sicherheitsexperten-jetzt-erwarten\">5 Prognosen: Was Sicherheitsexperten jetzt erwarten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Basierend auf der aktuellen Datenlage und den dokumentierten Verhaltensmustern chinesischer APT-Gruppen lassen sich f\u00fcnf konkrete Entwicklungen f\u00fcr die kommenden 12 Monate prognostizieren:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>UNC2814 entwickelt neue Cloud-C2-Methoden:<\/strong> Nach Googles Disruption wird die Gruppe neue Cloud-Dienste oder andere legitime APIs als C2-Kanal testen. Kandidaten sind Microsoft OneDrive-APIs, GitHub-Repositories, Dropbox oder andere popul\u00e4re SaaS-Plattformen. Sicherheitsteams sollten alle ausgehenden Cloud-API-Verbindungen als potenzielle C2-Kan\u00e4le behandeln, nicht nur Google-Dienste.<\/li>\n<li><strong>Europ\u00e4ische Telekoms geraten st\u00e4rker ins Visier:<\/strong> Die aktuelle Kampagne war schwerpunktm\u00e4\u00dfig in Afrika, Asien und Amerika aktiv. Mit wachsendem strategischem Interesse Chinas an europ\u00e4ischen Kommunikationsdaten, besonders im Kontext geopolitischer Spannungen um Taiwan und Handelskonflikte, ist eine st\u00e4rkere Fokussierung auf europ\u00e4ische Betreiber in den n\u00e4chsten 12 Monaten wahrscheinlich.<\/li>\n<li><strong>KRITIS-Meldepflichten verbessern den Informationsaustausch:<\/strong> Das KRITIS-Dachgesetz verpflichtet betroffene Betreiber zu 24-Stunden-Meldungen. Wenn ein deutsches Telekommunikationsunternehmen von einem UNC2814-\u00e4hnlichen Angriff betroffen ist, muss das BSI schnell informiert werden. Das schafft die strukturelle Grundlage f\u00fcr besseren Informationsaustausch zwischen Betreibern und Beh\u00f6rden, vorausgesetzt die Detektionsf\u00e4higkeiten stimmen.<\/li>\n<li><strong>Hyperscaler \u00fcbernehmen aktivere Rolle in der Cyber-Abwehr:<\/strong> Googles Bereitschaft, aktiv in die Angreiferinfrastruktur einzugreifen, setzt einen Pr\u00e4zedenzfall. Microsoft, Amazon und andere Cloud-Anbieter d\u00fcrften \u00e4hnliche Ans\u00e4tze entwickeln, um staatliche Akteure zu st\u00f6ren, die ihre Plattformen als Angriffswerkzeug missbrauchen. Das ver\u00e4ndert die Dynamik staatlicher Cyber-Operationen grundlegend.<\/li>\n<li><strong>KI-gest\u00fctzte Erkennung wird unverzichtbar:<\/strong> Die <a href=\"\/de\/clickfix-angriff-social-engineering-2026\/\">Zunahme hochentwickelter Angriffsmethoden<\/a> wie GRIDTIDE, die klassische Erkennungsmethoden umgehen, macht KI-gest\u00fctzte Verhaltensanalyse zur Pflicht f\u00fcr Betreiber kritischer Infrastruktur. Regelbasierte Systeme allein reichen nicht mehr aus, wenn Angreifer legitime Cloud-APIs als C2 nutzen.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-berichte\">Verwandte Berichte<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"weiterfuehrende-artikel-auf-shattered-io\">Weiterf\u00fchrende Artikel auf shattered.io<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/de\/apt28-gru-tp-link-router-deutschland-2026\/\">APT28 hackt TP-Link-Router in Deutschland: 30 Ger\u00e4te kompromittiert, 15 L\u00e4nder warnen<\/a><\/li>\n<li><a href=\"\/de\/bka-cybercrime-lagebericht-2025\/\">BKA Cybercrime-Lagebericht 2025: 333.922 F\u00e4lle, 202 Mrd. Euro Schaden<\/a><\/li>\n<li><a href=\"\/de\/deutschland-cyberangriffe-124-prozent-dach-2026\/\">Deutschland: Cyberangriffe steigen 2025 um 124 Prozent<\/a><\/li>\n<li><a href=\"\/de\/kritis-dachgesetz-2026\/\">KRITIS-Dachgesetz 2026: 1 Mio. Euro Bu\u00dfgeld, 17. Juli Deadline<\/a><\/li>\n<li><a href=\"\/de\/snort-vs-suricata\/\">Snort vs Suricata: IDS-Vergleich f\u00fcr kritische Netzwerk\u00fcberwachung<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"quellen-und-weiterfuehrende-informationen\">Quellen und weiterf\u00fchrende Informationen<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.securityweek.com\/google-disrupts-chinese-cyberespionage-campaign-targeting-telecoms-governments\/\" target=\"_blank\" rel=\"noopener noreferrer\">SecurityWeek: Google Disrupts Chinese Cyberespionage Campaign Targeting Telecoms, Governments<\/a><\/li>\n<li><a href=\"https:\/\/securityaffairs.com\/188521\/apt\/google-gtig-disrupted-china-linked-apt-unc2814-halting-attacks-on-53-orgs-in-42-countries.html\" target=\"_blank\" rel=\"noopener noreferrer\">Security Affairs: Google GTIG disrupted China-linked APT UNC2814, halting attacks on 53 orgs in 42 countries<\/a><\/li>\n<li><a href=\"https:\/\/industrialcyber.co\/ransomware\/china-linked-unc2814-exploited-google-sheets-api-for-stealth-c2-targeting-telecom-government-networks\/\" target=\"_blank\" rel=\"noopener noreferrer\">Industrial Cyber: UNC2814 exploited Google Sheets API for Stealth C2 targeting Telecom and Government Networks<\/a><\/li>\n<li><a href=\"https:\/\/www.cybersecuritydive.com\/news\/china-cyberattacks-telecommunications-google-sheets\/813082\/\" target=\"_blank\" rel=\"noopener noreferrer\">Cybersecurity Dive: China-linked hackers breached dozens of telecoms, governments via Google Sheets<\/a><\/li>\n<li><a href=\"https:\/\/cybelangel.com\/blog\/cyber-espionage-apts\/\" target=\"_blank\" rel=\"noopener noreferrer\">CybelAngel: Cyber Espionage and Chinese APT Groups in 2026<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufig-gestellte-fragen-zu-unc2814-und-gridtide\">H\u00e4ufig gestellte Fragen zu UNC2814 und GRIDTIDE<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-unc2814\">Was ist UNC2814?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">UNC2814, auch als &#8220;Gallium&#8221; bekannt, ist eine chinesische Cyber-Spionagegruppe, die seit mindestens 2017 aktiv ist. Die Gruppe greift vorrangig Telekommunikationsanbieter und Regierungsbeh\u00f6rden an. Im Februar 2026 stoppte Google eine UNC2814-Kampagne, die 53 Organisationen in 42 L\u00e4ndern auf vier Kontinenten kompromittiert hatte. Google klassifiziert die Gruppe als mutma\u00dflich im Auftrag der Volksrepublik China handelnd.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-die-gridtide-backdoor\">Was ist die GRIDTIDE-Backdoor?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">GRIDTIDE ist eine neuartige Backdoor-Malware, die UNC2814 in der Kampagne vom Februar 2026 einsetzte. Das Besondere an GRIDTIDE: Die Malware nutzt die legitime Google Sheets API als Kommando- und Kontrollkanal, um sich in normalem Cloud-Traffic zu verstecken. Klassische Sicherheitsl\u00f6sungen, die auf bekannte Malware-Infrastruktur pr\u00fcfen, erkennen GRIDTIDE nicht, weil die Kommunikation \u00fcber legitime Google-Server l\u00e4uft.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"sind-deutsche-telekommunikationsanbieter-von-unc2814-betroffen\">Sind deutsche Telekommunikationsanbieter von UNC2814 betroffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Google nannte keine konkreten Opfernamen oder betroffenen europ\u00e4ischen L\u00e4nder. Die Kampagne betraf jedoch vier Kontinente und 42 best\u00e4tigte L\u00e4nder. Verdacht besteht in mindestens 22 weiteren L\u00e4ndern. Da Deutschland zu den wichtigsten Telekommunikationsm\u00e4rkten Europas geh\u00f6rt und UNC2814 gezielt Telekommunikationsanbieter angreift, k\u00f6nnen deutsche Unternehmen nicht ausgeschlossen werden. Google informierte alle bekannten Opfer direkt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-kann-ich-gridtide-infektionen-erkennen\">Wie kann ich GRIDTIDE-Infektionen erkennen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">GRIDTIDE-Infektionen lassen sich durch verhaltensbasierte Erkennung und Cloud-Egress-Monitoring aufsp\u00fcren. Konkrete Hinweise sind ungew\u00f6hnliche automatisierte API-Aufrufe an Google Sheets aus Systemen, die normalerweise keine solchen Verbindungen aufbauen, sowie Shell-Prozesse, die von unerwarteten Parent-Prozessen gestartet werden. Google GTIG hat technische Indikatoren (IoCs) an betroffene Organisationen \u00fcbermittelt. Unternehmen sollten diese bei Google GTIG oder ihrem CERT anfordern.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-bedeutet-der-unc2814-angriff-fuer-das-kritis-dachgesetz\">Was bedeutet der UNC2814-Angriff f\u00fcr das KRITIS-Dachgesetz?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Telekommunikationsanbieter, die unter das KRITIS-Dachgesetz (in Kraft seit 17. M\u00e4rz 2026) fallen, m\u00fcssen Vorf\u00e4lle innerhalb von 24 Stunden melden. Ein GRIDTIDE-\u00e4hnlicher Angriff, der nicht erkannt wird, weil klassische Erkennungsmethoden versagen, w\u00fcrde diese Meldepflicht faktisch unm\u00f6glich machen. Das Gesetz setzt damit implizit voraus, dass Betreiber \u00fcber Detektionsf\u00e4higkeiten verf\u00fcgen, die auch Cloud-basierte C2-Kommunikation erkennen k\u00f6nnen. Anbieter, die nur auf Signatur-basierte Erkennung setzen, erf\u00fcllen diese Anforderung nicht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-der-unterschied-zwischen-unc2814-und-salt-typhoon\">Was ist der Unterschied zwischen UNC2814 und Salt Typhoon?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Beide Gruppen greifen Telekommunikationsinfrastruktur an, aber mit unterschiedlichem Ansatz. Salt Typhoon konzentrierte sich auf tiefe Penetration hochpriorit\u00e4rer Ziele in den USA, mit best\u00e4tigtem Diebstahl von Anrufmetadaten von mehr als einer Million Personen. UNC2814 hingegen breitet sich auf 42 best\u00e4tigte L\u00e4nder aus und nutzt eine Cloud-basierte C2-Methode \u00fcber Google Sheets. Salt Typhoon ist 2026 noch aktiv in einigen US-Netzwerken, w\u00e4hrend Googles Disruption die UNC2814-Kampagneninfrastruktur im Februar 2026 stoppte.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-hat-google-die-unc2814-kampagne-gestoppt\">Wie hat Google die UNC2814-Kampagne gestoppt?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Google GTIG, Mandiant und Partner schalteten um den 18. Februar 2026 alle Google Cloud-Projekte ab, die UNC2814 kontrollierte, neutralisierten die externe Angreiferinfrastruktur und deaktivierten Konten, die f\u00fcr den Google-Sheets-basierten C2-Betrieb genutzt wurden. Am 25. Februar 2026 ver\u00f6ffentlichte Google einen detaillierten Bericht \u00fcber die Kampagne und informierte alle bekannten Opfer. Die Disruption war m\u00f6glich, weil Google als Plattformbetreiber direkten Zugang zur missbrauchten Infrastruktur hatte.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 25. Februar 2026 enth\u00fcllte Google eine der weitreichendsten chinesischen Spionagekampagnen des Jahrzehnts. Die Hacker-Gruppe UNC2814, von Reuters auch als &#8220;Gallium&#8221; bezeichnet, hatte bis zu diesem Zeitpunkt 53 Organisationen in\u2026<\/p>\n","protected":false},"author":5,"featured_media":297,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-296","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=296"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/296\/revisions"}],"predecessor-version":[{"id":298,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/296\/revisions\/298"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/297"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}