Beobachteter Rückgang der chinesischen APT-Operationen im Zuge der PLA-Säuberung 2026
Prayukth K V
Jüngste Ereignisse in China werfen einen langen Schatten auf die Aktivitäten der von Peking unterstützten staatlich geförderten Akteure. Obwohl es weltweit einen leichten Rückgang der Aktivitäten chinesischer Bedrohungsakteure gibt, handelt es sich keinesfalls um einen anhaltenden Rückgang. Vielmehr spiegelt diese Ruhe eine vorübergehende Verlangsamung wider, während das chinesische Ministerium für Staatssicherheit seine Prioritäten in Reaktion auf plötzliche und unvorhergesehene Verschiebungen im politischen Umfeld des Landes neu kalibriert.
Der „leere Stuhl“, der bei der hochrangigen Studien-Sitzung am 20. Januar 2026 in Peking zu sehen war, signalisierte das, was als der bedeutendste Köpfe-Abschlag der modernen Ära der Volksbefreiungsarmee (PLA) bezeichnet wird. Kurz darauf, am 24. Januar, folgte die offizielle Bestätigung. General Zhang Youxia (der stellvertretende CMC-Vorsitzende) und General Liu Zhenli (Chef des Stabes der Abteilung für gemeinsamen Stab) wurden festgenommen und werden wegen angeblicher Disziplinarverstöße untersucht, wodurch das chinesische Militärsystem in einen beispiellosen Zustand interner Reibungen versetzt wurde.
Für die globale Cybersicherheitsgemeinschaft ist dies kein weiteres Beispiel für einen regional begrenzten geopolitischen Umbruch. Die Abteilung für gemeinsamen Stab der Zentralen Militärkommission (JSDCMC) ist das Hauptkommandoorgan der Volksbefreiungsarmee (PLA) und hat in dieser Rolle einen erheblichen Einfluss auf die schlagkräftigsten Advanced Persistent Threat (APT)-Gruppen Chinas, die dem Ministerium für Staatssicherheit (MSS) unterstehen.
In allen Fragen der militärischen und diplomatischen Intelligenz hat die Abteilung für gemeinsamen Stab (JSD) unter der Zentralen Militärkommission das letzte Wort. Dies umfasst die Genehmigung der Qualität und Relevanz der Informationen sowie bei Bedarf die Genehmigung weiterer Analysen oder Aktivitäten sowie Ressourcen, um mehr Daten zu erhalten. Liu Zhenli war tatsächlich für Kampfoperationen, die Koordination zwischen Diensten während Kriegen, Truppenbewegungen und Intelligenz verantwortlich. Die JSD ist einer der Hauptverbraucher der von den APT-Gruppen produzierten bedrohungsintelligenten Daten.
Die Zentrale Militärkommission (CMC) hingegen ist die höchste nationale Kommandobehörde der Streitkräfte Chinas. Sie überwacht die Volksbefreiungsarmee (PLA), die Bewaffnete Polizei des Volkes (PAP) und die Miliz. Sie wird von niemand anderem als Xi Jinping geleitet und bestimmt die Militärstrategie, Modernisierung, Personal, Ausrüstung und Ausbildung. Auf diese Weise wird die Führung der Kommunistischen Partei über das Militär gewährleistet. Es ist wichtig, die Rolle der CMC im Kontext dessen, was heute in China passiert, zu verstehen.
Die Neuorganisation der Zentralen Militärkommission hat strategische Auswirkungen auf die Aktivitäten chinesischer APT-Gruppen. Dies ist der Zusammenhang, den wir im heutigen Blogbeitrag untersuchen werden.
Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag „NIST Seeks Industry Input on Major SP 800-82 Revision for Operational Technology Security” anzuschauen, hier.
Chaos beim Kommando
Mehrere glaubwürdige Quellen haben behauptet, dass die Verhaftung von Zhang und Liu einen Zustand der „passiven Widerstands“ innerhalb des Militärs ausgelöst hat. Laut nicht verifizierten Geheimdienstlecks, die angeblich tief aus der PLA hervorgegangen sind, werden Junior- und Mitteloffiziere zunehmend risikoscheu und konzentrieren sich mehr auf politisches Überleben als auf operative Innovation.
Auswirkungen auf Cyber-Operationen:
Operative Störung: In den letzten 89 Stunden haben wir eine vorübergehende Flaute bei „hochinitiativem“ Spear-Phishing-Kampagnen beobachtet und notiert. Dies könnte daran liegen, dass Cyber-Einheiten darauf warten, dass neue „politische Kommissare“ ihre Ziellisten überprüfen.
Das Volumen von eingehenden Scans ist ebenfalls erheblich zurückgegangen. Das Volumen der chinesischen APT-affiliierten Signale aus dem Cyberspace ist von einem Höchststand von 37,500 am 2. Januar 2026 auf 3,781 um 20:00 Uhr GMT am Dienstag, den 27. Januar 2026 gesunken.
Das Führungs-Vakuum: Mit der nun ausgehöhlten Zentralen Militärkommission (CMC) könnte sich die strategische Führung für Gruppen wie Volt Typhoon und APT41 von einer langfristigen strategischen Unterbrechung zu sofortigen Aufgaben der Regimeerhaltung verschoben haben. Diese Gruppen könnten auch aufgefordert worden sein, ihren Eid zu bekräftigen, den Anweisungen des Obersten Kommandanten zu folgen.
Weitere Gründe für die Flaute
· Das erste Büro des MSS, das für innere Intelligenz und Operationen verantwortlich ist, könnte durch die Aufnahme zusätzlicher aus anderen Büros geschulter Mitglieder gestärkt worden sein
· Dies könnte auch für das Fünfte Büro zutreffen, das für die Analyse der Intelligenz verantwortlich ist
· Das MSS weiß, dass es in dieser Zeit verstärkte Aufmerksamkeit von anderen Geheimdiensten auf sich ziehen wird und ist daher bestrebt, seinen operativen Fußabdruck gering zu halten.
· Eine Stillstands-Anordnung vom Obersten Kommandanten selbst, um zu verhindern, dass diese Agenturen für Operationen eingesetzt werden, die nicht von Xi selbst genehmigt sind
Taktische Entwicklung: Chinesische APT-Gruppen im Jahr 2026
Trotz der Turbulenzen auf höchster Ebene bleibt die „Hands-on-Keyboard“-Aktivität von staatlich gesponserten Akteuren ansonsten tödlich effizient. Die aktuelle Bedrohungslandschaft wird im Wesentlichen durch drei große Trends definiert:
Die Bewaffnung von Edge und n-Day-Schwachstellen
Im Januar 2026 identifizierten Forscher einen Anstieg chinesischer APTs, die CVE-2025-8088 ausnutzten, eine hochgradige Schwachstelle in WinRARs Umgang mit alternativen Datenstreams. Durch das Einbetten bösartiger Dateien in Tarnarchiven gelingt es den Akteuren, traditionelle Endpunkt-Erkennung zu umgehen.
Primärziel: Regierungs- und Militäreinheiten im gesamten indo-pazifischen Raum.
Malware: Varianten von PoisonIvy und PlugX (SOGU.SEC) werden auf diese Weise ausgiebig wiederverwendet.
Die SharePoint „Typhoon“ Welle
Microsofts Threat Intelligence Center verfolgte kürzlich, wie Linen Typhoon und Violet Typhoon (auch bekannt als APT27/Emissary Panda) SharePoint-Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzen.
Technik: Diese Gruppen basieren ihre Angriffe auf „malwarefreien“ Eindringlingen, um kryptographische Schlüssel (MachineKey-Daten) zu stehlen, die es ihnen ermöglichen, Authentifizierungstokens zu fälschen und ohne traditionelle Hintertüren persistenten Zugang zu erhalten.
Statistik: Aktuelle Daten deuten darauf hin, dass 81 Prozent der aktiven chinesischen Eindringlinge im Jahr 2026 „malwarefrei“ sind und sich ausschließlich auf Living-off-the-Land (LOTL)-Binärdateien wie PowerShell und WMI stützen.
Ein neues Framework
Ein neues JScript-basiertes C2-Framework hat sich als bevorzugtes Werkzeug für Aktivitätscluster wie SHADOW-VOID-044 herausgestellt. Dieses Framework ist hochgradig modulart, und dient allem, von gefälschten Chrome-Updates bis hin zu modulen Hintertüren wie MKDOOR.
Fallstudie: Volt Typhoons „Vorbearbeitung“
Während die Führung der PLA gesäubert wird, hat Volt Typhoon (Insidious Taurus) tatsächlich seinen Fokus auf die kritische Infrastruktur der USA und ihrer Verbündeten intensiviert.
„Der interne Säuberungsprozess könnte tatsächlich die Zeitpläne von Volt Typhoon beschleunigen“, meint ein leitender Analyst. „Wenn die PLA glaubt, dass ihre kinetische Einsatzbereitschaft durch den Führungswechsel beeinträchtigt wird, könnten sie verstärkt auf 'digitale Sprengfallen' als Abschreckung gegen US-amerikanische Eingriffe im Südchinesischen Meer setzen."
Wichtige Beobachtungen im Jahr 2026:
Fokus: Energie, Wasser und Telekommunikation.
Methode: Weiterhin Einsatz von kompromittierten SOHO-Routern (ASUS, Cisco, Netgear), um ein „Mesh“ aus verdecktem C2-Verkehr zu schaffen, das sich in den Wohn-IP-Raum integriert.
Strategische Perspektive: Was könnte als nächstes kommen?
Dies ist eine Phase enormer Umbrüche in China. Das versteht sich von selbst. Sobald eine gewisse Stabilität erreicht ist, werden die APT-Gruppen wieder aktiv sein.
Metrik | Purge vor 2026 | Aktueller Status 2026 |
Kommando-Kohäsion | Hoch (integrierte gemeinsame Operationen) | Niedrig (fragmentiert/risikoavers) |
Cyber-Aggression | Strategisch/geplant | Taktisch/reaktiv/niedrige Intensität |
Zielobjekt | IP-Diebstahl und Infrastruktur | Loyalität, Regimesicherheit und Abschreckung |
Erkennungsschwierigkeit | Hoch (LOTL-Techniken) | Keine Änderung bisher |
Loyalität und Regimeerhaltung sind heute die treibenden Faktoren für das MSS. Mit der Reorganisation der CMC haben die chinesischen APT-Gruppen vorübergehend einen Gönner verloren. Sobald die neuen CMC-Mitglieder vereidigt sind, könnten diese Gruppen umorganisiert werden und schnelle Erfolge anstreben, um zu zeigen, dass sie weiterhin im Geschäft sind. Wir sollten daher auf eine Periode erhöhter chinesischer APT-Aktivitäten vorbereitet sein.
Buchen Sie ein kostenloses Briefing zur Bedrohungsintelligenz bei Shieldworkz, hier.
Melden Sie sich für unseren NIST SP 800 Compliance Service hier an.
Zugriff auf unsere Regulierungsleitfäden hier.
Holen Sie sich unser OT-Sicherheitsrichtlinien-Template-Paket hier.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
Entpacken Sie Handalas Resilienz-Leitfaden
Prayukth K V
Übertragung des NIST CSF 2.0 auf IEC 62443: Ein praktisches Rahmenwerk für die industrielle OT-Sicherheit
Team Shieldworkz
Bereitstellung von IEC 62443 Sicherheitsmaßnahmen in IACS: Ein praktischer Implementierungsleitfaden
Prayukth K V
Bewältigung der Herausforderungen bei der Umsetzung von NIS2
Team Shieldworkz
Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht
Team Shieldworkz
