剣 KENSAI
← All posts · security · 2026-03-07 · 6 min

Google Zero-Day-Bericht 2025: 90 ausgenutzte Schwachstellen, Angriffe auf Unternehmen nehmen zu

Die jährliche Zero-Day-Analyse der Google Threat Intelligence Group deckt 90 in freier Wildbahn ausgenutzte Schwachstellen im Jahr 2025 auf — fast die Hälfte davon zielt auf Sicherheitsprodukte für Unternehmen, Netzwerk-Appliances und Cloud-Infrastruktur. Spyware-Anbieter und mit China verbundene APTs dominieren die Zuordnung. Gleichzeitig zeigen ein Datenleck mit 3,4 Millionen Patientendaten im Gesundheitswesen und neue dateilose Malware-Kampagnen, warum kontinuierliches Schwachstellen-Scanning längst keine Option mehr ist.


📊 Googles Zero-Day-Landschaft 2025: Die wichtigsten Zahlen

💡 Jährliche Zero-Day-Erfassung durch GTIG

Die Google Threat Intelligence Group (GTIG) verfolgt jedes Jahr Zero-Day-Schwachstellen, die in freier Wildbahn ausgenutzt werden. Der Bericht 2025 markiert eines der höchsten Jahre seit Beginn der Aufzeichnungen: 90 bestätigte ausgenutzte Zero-Days — gegenüber 73 im Jahr 2024 und nahe am Rekord von 97 im Jahr 2021.

Die Verlagerung auf Unternehmen

Die bedeutendste Erkenntnis: Etwa 45 der 90 Zero-Days (50 %) zielten direkt auf Unternehmensprodukte — nicht auf Endverbrauchergeräte. Dies stellt eine dramatische Verschiebung gegenüber früheren Jahren dar, als Browser und mobile Betriebssysteme die Zero-Day-Ausnutzungslandschaft dominierten.

Kategorie Zero-Days (2025) Prozentsatz Trend ggü. 2024
Sicherheitsprodukte für Unternehmen ~20 22 % 🔺 Deutlich gestiegen
Netzwerk-/VPN-Appliances ~15 17 % 🔺 Gestiegen
Cloud-/SaaS-Plattformen ~10 11 % 🔺 Gestiegen
Mobile Betriebssysteme (iOS/Android) ~18 20 % 🔻 Gesunken
Browser ~12 13 % 🔻 Gesunken
Desktop-Betriebssysteme ~15 17 % ➡️ Stabil

Zuordnung: Wer nutzt Zero-Days aus?

Weniger als die Hälfte der 90 Zero-Days konnte bestimmten Bedrohungsakteuren zugeordnet werden, aber die führenden Gruppen zeichnen ein klares Bild:

⚠️ Die größten Zero-Day-Ausnutzer 2025

1. Kommerzielle Spyware-Anbieter — NSO Group, Intellexa und neuere Akteure dominieren weiterhin die Zero-Day-Ausnutzung und sind für rund 30 % der zugeordneten Zero-Days verantwortlich.
2. Mit China verbundene APT-Gruppen — Mehrere staatlich unterstützte chinesische Gruppen (Salt Typhoon, Volt Typhoon, APT41) nutzten unternehmensfokussierte Zero-Days für Netzwerkgeräte und Cloud-Plattformen aus.
3. Mit Russland verbundene Gruppen — Konzentrierten sich hauptsächlich auf ukrainische und europäische Ziele unter Verwendung von Zero-Days in Microsoft-Produkten.
4. Nordkorea — Zunehmend ausgefeilte Angriffe auf Kryptowährungsplattformen und Entwicklertools.

Warum Unternehmensprodukte jetzt das Hauptziel sind

Mehrere Faktoren erklären die Verlagerung auf Unternehmensziele:


🏥 TriZetto-Datenleck im Gesundheitswesen: 3,4 Millionen Patienten betroffen

⚠️ Massives Datenleck im Gesundheitswesen

TriZetto Provider Solutions (eine Tochtergesellschaft von Cognizant) hat ein Datenleck offengelegt, das 3.433.965 Personen betrifft. Die Angreifer hatten fast ein Jahr lang unbefugten Zugang — von November 2024 bis Oktober 2025.

Zeitlicher Ablauf des Datenlecks

Datum Ereignis
19. November 2024 Unbefugter Zugriff beginnt
2. Oktober 2025 Verdächtige Aktivitäten entdeckt
9. Dezember 2025 Betroffene Anbieter benachrichtigt
Februar 2026 Kundenbenachrichtigungen beginnen
6. März 2026 Meldung beim Maine AG bestätigt 3,4 Mio. Betroffene

Arten der offengelegten Daten

Die 317-tägige Verweildauer (vom ersten Zugriff bis zur Entdeckung) ist besonders alarmierend und unterstreicht die Notwendigkeit kontinuierlicher Überwachung und automatisierter Bedrohungserkennung. Cognizant stand bereits zuvor in der Kritik — nach dem Maze-Ransomware-Vorfall 2020 und einem Scattered-Spider-bezogenen Einbruch über den Helpdesk.


🦠 VOID#GEIST: Dateilose mehrstufige Malware-Kampagne

⚠️ Fortgeschrittene dateilose Angriffskette

Securonix-Forscher haben VOID#GEIST dokumentiert, eine ausgeklügelte mehrstufige Malware-Kampagne, die XWorm, AsyncRAT und Xeno RAT über dateilose Ausführungstechniken verbreitet.

Aufschlüsselung der Angriffskette

  1. Erster Zugang — Batch-Skript wird über eine Phishing-E-Mail von einer TryCloudflare-Domain abgerufen
  2. Ablenkungsmanöver — Chrome öffnet ein gefälschtes Finanz-PDF im Vollbildmodus als visuelle Ablenkung
  3. Versteckte Ausführung — PowerShell führt das Batch-Skript erneut mit -WindowStyle Hidden aus
  4. Persistenz — Platzierung im Autostart-Verzeichnis (keine Registry-Änderungen, keine Privilegieneskalation)
  5. Payload-Abruf — ZIP-Archive mit verschlüsseltem Shellcode und einem Python-Loader werden heruntergeladen
  6. Ausführung im Arbeitsspeicher — Die Python-Laufzeitumgebung entschlüsselt und injiziert Shellcode über Early Bird APC Injection in explorer.exe

💡 Warum das wichtig ist

Die VOID#GEIST-Kampagne steht für einen breiteren Branchentrend: weg von eigenständigen ausführbaren Dateien hin zu modularen, skriptbasierten Bereitstellungs-Frameworks. Jede einzelne Stufe erscheint für sich genommen harmlos und ahmt legitime administrative Aktivitäten nach. Die Verwendung einer legitimen eingebetteten Python-Laufzeitumgebung von python.org eliminiert Abhängigkeiten und umgeht Application Allowlisting.

Ausgelieferte Payloads

RAT Fähigkeiten Verschlüsselte Datei
XWorm Voller Fernzugriff, Keylogging, Bildschirmaufnahme, Persistenz new.bin
AsyncRAT Asynchrone C2-Kommunikation, Plugin-Erweiterbarkeit, Anmeldedatendiebstahl pul.bin
Xeno RAT Open-Source-RAT mit HVNC, Mikrofon-/Webcam-Zugriff xn.bin

🌐 Cisco SD-WAN & Rockwell ICS: Weitere aktive Exploits

Cisco Catalyst SD-WAN

Cisco hat bestätigt, dass zwei kürzlich gepatchte Catalyst SD-WAN-Schwachstellen — CVE-2026-20128 und CVE-2026-20122 — nun aktiv in freier Wildbahn ausgenutzt werden. Organisationen, die betroffene SD-WAN-Konfigurationen betreiben, sollten Patches sofort einspielen oder die empfohlenen Workarounds implementieren.

Rockwell Automation ICS-Schwachstelle

Eine Rockwell Automation-Schwachstelle, die ursprünglich 2021 offengelegt und behoben wurde, wird nun bestätigt aktiv bei Angriffen auf industrielle Steuerungssysteme ausgenutzt. Dies verdeutlicht eine anhaltende Herausforderung in OT/ICS-Umgebungen: Selbst wenn Patches existieren, werden sie aufgrund betrieblicher Einschränkungen und Bedenken wegen Ausfallzeiten oft nicht eingespielt.

⚠️ ICS/OT-Risiko

Wenn Ihre Organisation Rockwell-Speicherprogrammierbare Steuerungen (SPS) betreibt, überprüfen Sie sofort den Patch-Status. Die Fernausnutzung von ICS-Systemen kann zu Manipulation physischer Prozesse, Umgehung von Sicherheitssystemen und Betriebsunterbrechungen führen.


🔒 LeakBase-Forum abgeschaltet — 142.000 Nutzer

In einer positiven Entwicklung wurde das LeakBase-Cyberkriminalitätsforum von Strafverfolgungsbehörden abgeschaltet und Verdächtige festgenommen. Der Marktplatz für gestohlene Zugangsdaten war seit 2021 aktiv und hatte 142.000 registrierte Nutzer, die mit kompromittierten Anmeldedaten, persönlichen Daten und Datenleck-Datenbanken handelten.

Während Abschaltungen eine vorübergehende Störung bewirken, zeigt die Erfahrung, dass verdrängte Nutzer typischerweise innerhalb von Wochen zu alternativen Foren abwandern. Organisationen sollten dieses Zeitfenster nutzen, um:


🛡️ Empfohlene Maßnahmen

Für Sicherheitsteams in Unternehmen

  1. Patching von Unternehmensprodukten priorisieren — VPN-Appliances, Firewalls und Sicherheitsprodukte sind jetzt primäre Zero-Day-Ziele
  2. Kontinuierliches automatisiertes Scanning einsetzen — Manuelle Schwachstellenbewertungen können bei über 90 Zero-Days pro Jahr nicht mithalten
  3. Dateilose Ausführungsmuster überwachen — Achten Sie auf versteckte PowerShell-Fenster, Python-Laufzeitumgebungs-Downloads und APC-Injection-Signaturen
  4. Verweildauer reduzieren — Die 317-tägige Verweildauer beim TriZetto-Datenleck zeigt die Kosten verzögerter Erkennung
  5. ICS/OT-Systeme patchen — Alte Schwachstellen in Rockwell und ähnlichen Systemen werden Jahre nach der Offenlegung aktiv ausgenutzt

Für Organisationen im Gesundheitswesen

  1. Webportal-Sicherheit überprüfen — TriZettos Datenleck ging von einem Webportal für Versicherungsberechtigungsdaten aus
  2. Netzwerksegmentierung implementieren — Begrenzen Sie den Schadensradius einer einzelnen Kompromittierung
  3. Verhaltensanalysen einsetzen — Erkennen Sie unbefugte Zugriffsmuster, insbesondere für Datenbanken mit geschützten Gesundheitsinformationen (PHI)
  4. Sicherheit von Drittanbietern überprüfen — Die Sicherheitslage Ihres Anbieters ist Ihre Sicherheitslage