Der Angriff auf die Telekommunikationsinfrastruktur in Südasien und Teilen Europas ging vom chinesischen Hackernetzwerk APT aus.
Die Sicherheitsforscher von Talos haben die Angriffe analysiert. Sie gehen davon aus, dass es sich bei UAT-7290 um einen hochentwickelten Bedrohungsakteur handelt, der zum chinesischen Netzwerk der Advanced Persistent Threat-Akteure (APTs) gehört. Bisher zielten die Angriffe auf die Telekommunikationsinfrastruktur in Südasien ab. Im Laufe der letzten Monate wechselten die Hacker allerdings auf Anbieter in Südosteuropa. In Deutschland konnte man bisher noch keine derartigen Angriffe feststellen. Die Entfernung spielt dabei aber keine Rolle. Schließlich reden wir vom Internet. Der Einstiegspunkt ist außerdem überall dort, wo der Zugang zum Internet dauerhaft offen bleiben muss.
Keine Zaubertricks vorgeführt
Bei den Attacken von UAT-7290 geht es nicht um Zaubertricks. Erst wird ausforscht und langfristig ausgespäht, dann wird der Zugang sorgfältig geplant, um direkt darauf zugreifen zu können. Der Einstieg läuft über Schwachstellen in der Netzwerk- und Zugangstechnik sowie über schlecht abgesicherte Zugänge wie SSH, also Teile der Telekommunikationsinfrastruktur, die stets erreichbar sein müssen.
Vieles an Code entsteht gar nicht im Labor, sondern basiert auf dem, was ohnehin schon auf Gitlab, Github oder anderen Hubs als PoC-Papier existiert. Es gibt dort Beispielcodes, die zeigen, wie man eine Lücke aktiv ausnutzen kann. Man nimmt den Quellcode, passt ihn etwas an das Szenario an und setzt ihn beim Telekommunikationsanbieter ein.
RushDrop und der Ordner, der im falschen Moment auftaucht
Talos wird bei der Analyse konkret. Die Malware RushDrop legt ein Verzeichnis mit dem Namen .pkgdb an und platziert dort Dateien, die später nacheinander gestartet werden. RushDrop läuft auch unter dem Namen ChronosRAT, die Datei SilentRaid hingegen als MystRodX. Diese Aliasnamen sind praktisch, da später oft nur einer davon im System auftaucht und Spuren hinterlässt.
SilentRaid ist ein Baukasten, der direkt am Zugang zum Netz nichts zu suchen hat
SilentRaid ist das Standardpaket für „Wir (die Hacker) sind drin und bleiben es auch“. Befehle, Weiterleitungen, der volle Dateizugriff. Damit wird aus einem Treffer ein Arbeitsplatz zum durchforsten. Es ist der typische Baukasten, den man in den einschlägigen Untergrund-Foren mieten kann.
Der Rückkanal läuft über DNS. In der Talos-Beobachtung nutzt die Gruppierung dafür die Adresse 8.8.8.8. Das sieht unverdächtig aus, da viele Unternehmen Googles DNS im System voreingestellt haben.
Bulbature macht aus dem Zugriff eine Durchreiche
Dazu kommt Bulbature. Die Idee ist nicht nur der eigentliche Zugriff, sondern auch die Funktion als Relais. Kompromittierte Systeme werden so betrieben, dass sie als Zwischenstationen dienen und Traffic weiterleiten können.
Warum auch die Telekommunikationsinfrastruktur in Deutschland betroffen ist
Die Tatsache, dass die Telekommunikationsinfrastruktur von Deutschland bei Talos nicht als Ziel auftaucht, sagt ziemlich wenig darüber aus, ob deutsche Netze grundsätzlich besser geschützt sind. Telekommunikationsunternehmen haben denselben Grundkonflikt wie überall: Sie müssen einen dauerhaften Zugang nach außen anbieten, verwalten und patchen, während sie ihre Historie systemstruktureller Fehler mit sich herumtragen.
Wer ein deutsches Beispiel sucht, muss das nicht lange tun. Im Jahr 2016 gab es eine große Welle rund um Port 7547 und TR-069/TR-064, als hunderttausende Router der Deutschen Telekom ausfielen, weil Unbekannte die Fernwartungsschnittstelle angegriffen haben. Man kann es sehen, wie man will, aber irgendein Port ist irgendwie und irgendwo immer offen, besonders auch bei unseren ISPs. Das erst macht einen solchen Angriff erst möglich.
Berlin zeigt, wie schnell Mobilfunk zum Problem werden kann
Am Morgen des 3. Januar 2026 brennt in Berlin-Lichterfelde eine Kabelbrücke über dem Teltowkanal. Kurz danach sitzen 45.400 Haushalte und 2.200 Gewerbekunden in Nikolassee, Zehlendorf, Wannsee und Lichterfelde im Dunkeln.
Es gibt ein Bekennerschreiben, Widersprüche und die üblichen Verschwörungstheorien. Drei Tage später, am 6. Januar 2026, übernimmt der Generalbundesanwalt die Ermittlungen. Am darauffolgenden Tag, dem 7. Januar 2026, erfolgt eine Distanzierung aus dem Umfeld von Gruppen, die sich ebenfalls „Vulkangruppe” nennen.
Fast drei Wochen später, am 27. Januar 2026, wird schließlich ein öffentlicher Zeugenaufruf inklusive einer Belohnung von einer Million Euro veröffentlicht. Dabei wird auch eine Frist bis zum 24. Februar 2026 genannt.
Für die Betreiber der Telekommunikationsinfrastruktur ist das nichts Besonderes und kaum der Rede wert. Relevant ist, was man an solchen Tagen merkt. Ohne Strom kann allerdings der Mobilfunk sehr schnell zum Problem werden. Die Puffer sind innerhalb kürzester Zeit erschöpft. Danach bleiben Notstrom, die Anforderung mobiler Funkzellen und die Umstellung der bestehenden, noch laufenden Zellen sowie deren Priorisierung. Solange muss man anpassen und improvisieren, bis der Grundbetrieb der Kommunikation wieder da ist.
Diesmal war es Brandstiftung und kein Hack. Die Situationen sind trotzdem vergleichbar. Wenn du die Standorte oder die Versorgung triffst, ist die Leitung – egal ob Strom oder Internet – über kurz oder lang weg.
Das steht auch in den Resilienzpapieren der Bundesnetzagentur. In den ersten Stunden eines Stromausfalls ist kein durchgängiges Telekommunikationsnetz zu erwarten, da fest installierte Notstromlösungen nur an begrenzten Technikstandorten existieren. Meistens kommen Batterien zum Einsatz, aber auch bei O₂ gibt es an wichtigen Knotenpunkten zum Glück Dieselgeneratoren, die solche Probleme bis zu 48 Stunden je nach Auslastung und Tankfüllung absichern können. Bei langen, überregionalen Ausfällen sind großflächige Störungen zu erwarten und da hilft auch kein Dieselgenerator mehr.
Angriffe auf die Telekommunikationsinfrastruktur: Neu ist nur die Abwehr
Technisch gesehen hat sich nichts geändert. Neu ist jedoch, dass es inzwischen als Szenario in der Abwehr landet. OSINT-Advisory ist gelistet, dazu gibt es ein Protection Bulletin. Es gibt keinen Hinweis auf neue oder vermehrte Angriffe. Wer jedoch gezielt sucht, wird jetzt eher fündig.
Fazit zu den Angriffen von UAT-7290
UAT-7290 ist kein Exot, sondern ein Blick auf den Normalzustand bei den Telekommunikationsanbietern. Der Zugang zum Netz muss offen sein und genau dort setzen die Hacker an. Berlin ist die ärgerliche Erinnerung daran, wie schnell Kommunikation problematisch werden kann, wenn die Versorgung oder Technikstandorte ausfallen. Darum kein Schnellschuss. Lieber einmal sauber einordnen und sich der Sachlage bewusst sein und vielleicht selber auch etwas vorsorgen. Das Bundesamt für Bevölkerungs- und Katastrophenschutz hat diesbezüglich ein paar sinnvolle Hilfestellungen auf ihrer Webseite zu bieten.
