Threat Report

Die Analyse diverser Incident-Response-Logs in 2025 belegt einen Paradigmenwechsel: Der klassische „Brute-Force“-Angriff auf den Perimeter ist ein Auslaufmodell. Globale APTs und eCrime-Syndikate haben ihre TTPs fundamental auf Identity-Based Intrusion umgestellt.
verfasst von
NEXGAP
Threat Intelligence
January 1, 2026

1. SITUATIONAL SUMMARY für 2026
Die Auswertung der Field Intelligence und Incident-Response-Logs des Operationszyklus 2025 bestätigt eine fundamentale Verschiebung der TTPs (Tactics, Techniques, and Procedures) globaler APTs und eCrime-Gruppierungen. Der konventionelle Perimeter-Durchbruch via Brute-Force weicht der Identity-Based Intrusion.
Critical Intel: Der Vektor "Valid Accounts" (MITRE T1078) hat mit der Exploitation von Public-Facing Applications (T1190) gleichgezogen. Beide Vektoren machen jeweils 30 % aller verifizierten Initial Access Events aus. Die "Log-in statt Break-in"-Doktrin dominiert die Operationsplanung der Adversaries.


2. TACTICAL ANALYSIS: INTRUSION VECTORS & WEAPONIZATION


2.1 Credential Access & Infostealer Proliferation
Wir beobachten eine signifikante Skalierung von Infostealer-Deployment-Kampagnen.


• Vector Shift: Phishing-Kampagnen (T1566) dienen primär als Delivery-Mechanismus für Infostealer, nicht mehr primär für direkte Payload-Execution (z.B. Ransomware).
• Metric: Das Volumen von Infostealern, die via Phishing distribuiert wurden, verzeichnet einen Anstieg von 84 % Year-over-Year.
• Operational Impact: Gestohlene Session-Tokens und Credentials ermöglichen die Umgehung von Standard-MFA und gewähren direkten Zugriff auf Cloud-Workloads und SaaS-Applikationen.


2.2 Exploit Velocity & N-Day Vulnerabilities
Die Time-to-Weaponize für publizierte CVEs hat sich drastisch verkürzt.


• Latency Analysis: Bei den Top 10 der im Dark Web gehandelten CVEs (High-Value Targets) waren für 60 % der Schwachstellen funktionale Exploits innerhalb von <14 Tagen post-disclosure verfügbar.
• High-Value Assets: Fokus liegt auf Edge-Infrastructure RCEs (Remote Code Execution). Primäre Ziele in 2025 waren Schwachstellen in Fortinet FortiOS (CVE-2024-21762), Palo Alto PAN-OS (CVE-2024-3400) und Ivanti Appliances. Diese Assets dienen als Initial Foothold für Lateral Movement ins Intranet.


2.3 AI-Augmented Operations
Adversaries integrieren LLMs und generative KI in die Kill Chain.


• Capabilities: Automatisierte Erstellung von polymorphem Code, Skalierung von Spear-Phishing-Content und Generierung von Deepfakes für Social Engineering.


3. TARGET SECTOR & REGIONAL PROFILING


3.1 Sector Analysis: Manufacturing (ICS/OT)
Der Sektor Manufacturing bleibt das Primärziel (26 % aller Incidents).


• Attribution: Hohe Vulnerabilität von Legacy-OT-Systemen gegenüber Ransomware und Extortion.
• Impact: Ransomware bleibt trotz global rückläufiger Incident-Raten die dominierende Payload-Klasse (28 % Share). Wir beobachten eine Adaption hin zu Cross-Platform-Payloads (Linux/ESXi) zur Maximierung des Blast Radius in virtualisierten Umgebungen.


3.2 Regional Focus: APAC
Asien-Pazifik (APAC) verzeichnete die höchste Dichte an Incidents (34 %), korrelierend mit der dortigen Konzentration globaler Supply-Chain-Knotenpunkte.


4. STRATEGIC MITIGATION DIRECTIVES
Basierend auf der Threat Intelligence 2025 ergehen folgende Handlungsempfehlungen für SOC und Security Architecture:


◦ Identity Hardening (IAM): Substitution von Legacy-MFA (SMS/OTP) durch FIDO2/WebAuthn Hardware-Token zur Mitigierung von AiTM (Adversary-in-the-Middle) Angriffen. Implementierung von striktem Conditional Access für Cloud-Ressourcen.
◦ Continuous Offensive Security Validation (Pentesting): Implementierung rotierender Red Teaming Operations mit Fokus auf die Simulation von "Valid Account"-Szenarien.
◦ Scope: Validierung der Resilienz gegenüber Credential Stuffing und Token-Replay-Angriffen.
◦ Edge-Testing: Penetrationstests müssen Public-Facing Applications (VPN/Gateways) priorisieren, da diese in 30 % der Fälle den Entry-Point darstellen. Ziel ist die Identifikation von Exploitation-Pfaden bevor N-Day Exploits verfügbar sind.
◦ Proactive Darknet Surveillance: Operationalisierung von Cyber Threat Intelligence (CTI) Monitoring auf Untergrund-Marktplätzen und Leak-Sites.
◦ Objective: Frühzeitige Detektion von exfiltrierten Employee-Credentials (Infostealer Logs) und proprietärem Code.
◦ Actionable Intel: Matches in Stealer-Logs müssen einen automatisierten Force-Reset der betroffenen Identitäten triggern, bevor der Initial Access Broker den Zugang weiterverkauft.
◦ Attack Surface Reduction: Patch-SLAs für Public-Facing Assets (VPN, Firewalls, Web-Apps) müssen auf <48h für Critical CVEs reduziert werden. Das Exploit-Fenster von 14 Tagen erlaubt keine Verzögerung.
◦ Supply Chain Integrity: Verstärktes Monitoring von Third-Party-Zugriffen. Validierung der Security Posture von Partnern in der Supply Chain, insbesondere im Manufacturing-Kontext.

NEXGAP GmbH
Messeturm, 9th Floor
D-60308 Frankfurt am Main
Services
Offensive Security SolutionsSAP SecurityCyber Threat Intelligence
Company
Über NEXGAPPublikationen und BlogKontakt aufnehmen
Trust
Ethisches ManifestPhilosophieSecurity by DesignPGPSchwachstelle melden
NEXGAP © 2026. Alle Rechte vorbehalten.
ImpressumDatenschutzrichtlinienNutzungsbedingungenCookie-Einstellungen
Wir gewähren Ihnen das nicht ausschließliche, nicht übertragbare und begrenzte Recht, die in dieser Website enthaltenen Webseiten als Kunde oder potenzieller Kunde von «NEXGAP» und oder Tochterunternehmen aufzurufen und anzuzeigen, sofern Sie diese Nutzungsbedingungen einhalten und sämtliche Urheberrechts-, Marken- und sonstigen Eigentumsvermerke beibehalten. Weitere Informationen können Sie unseren Nutzungsbedingungen entnehmen.

Wir bittet Sie, keine vertraulichen oder urheberrechtlich geschützten Informationen über diese Website an uns zu schicken. Bitte beachten Sie, dass wir jede Information oder jedes Material, das uns auf diesem Wege erreicht, als nicht vertraulich betrachten. Wenn Sie uns Informationen oder Materialien schicken, räumen Sie «NEXGAP» und oder Tochterunternehmen ein unbeschränktes, unwiderrufliches Recht ein, diese zu kopieren, zu reproduzieren, zu veröffentlichen, zu laden, bereitzustellen, weiterzuversenden, zu verteilen, zu veröffentlichen, auszuführen, zu modifizieren, für die Erstellung abgeleiteter Werke zu verwenden und anderweitig unbegrenzt zu nutzen oder zu verarbeiten. Persönliche Daten, die Sie für die Lieferung von Produkten und oder Services bereitstellen, werden in Übereinstimmung mit unseren Datenschutzrichtlinien verarbeitet. Weitere Informationen über die Datenschutzbestimmungen erhalten Sie hier.