TeamPCP Update 006: EU-Cloud-Angriff bestätigt, Sportradar-Details, 1.000+ SaaS-Umgebungen kompromittiert

TeamPCP Supply Chain Kampagne: Update 006 - Cloud-Angriff der Europäischen Kommission bestätigt, Sportradar-Details bekannt, und Mandiant quantifiziert 1.000+ SaaS-Umgebungen als kompromittiert

(Fr, 3. April 2026)

Dieses Dokument ist Update 006 zum laufenden Bedrohungsbericht „When the Security Scanner Became the Weapon“ (v3.0, 25. März 2026) und beschreibt die kritischen Entwicklungen in der TeamPCP Supply Chain Kampagne. Nach Update 005, das Informationen bis zum 1. April abdeckte – einschließlich des Mercor AI-Angriffs, Wiz's Post-Compromise-Cloud-Enumeration, der DPRK-Attribution für den axios-Kompromiss und der Wiederaufnahme der Veröffentlichung von LiteLLM nach Mandiants forensischer Prüfung – konzentriert sich diese Ausgabe auf Informationen, die zwischen dem 1. und 3. April 2026 gesammelt wurden. Die neuesten Erkenntnisse offenbaren eine dramatische Ausweitung der Auswirkungen der Kampagne, wobei CERT-EU einen Angriff auf die Cloud-Infrastruktur der Europäischen Kommission bestätigt, neue Details zu Sportradar auftauchen und Mandiant seine Einschätzung auf über 1.000 kompromittierte SaaS-Umgebungen revidiert.

CERT-EU bestätigt Cloud-Angriff auf die Europäische Kommission

In einer erheblichen Eskalation hat das Computer Emergency Response Team für die EU-Institutionen, -Gremien und -Agenturen (CERT-EU) offiziell einen Angriff innerhalb von Cloud-Umgebungen bestätigt, die von der Europäischen Kommission genutzt werden. Während spezifische Details zum Umfang der Datenexfiltration und dem genauen Eintrittsvektor noch aktiv untersucht werden, unterstreicht die Erklärung von CERT-EU die ausgeklügelte Natur der TeamPCP-Kampagne. Erste Analysen deuten darauf hin, dass der Kompromiss wahrscheinlich die etablierte Methodik „Sicherheitsscanner wurde zur Waffe“ nutzte, indem vertrauenswürdige SaaS-Anwendungen Dritter oder deren zugrunde liegende Integrationen, die von der Kommission verwendet werden, ausgenutzt wurden. Dieser Vorfall verdeutlicht die kritischen Schwachstellen, die in komplexen Lieferkettenabhängigkeiten inhärent sind, insbesondere innerhalb der öffentlichen Infrastruktur, die stark auf Cloud-basierte Dienste angewiesen ist.

Die Ermittler konzentrieren sich auf die Identifizierung kompromittierter Anmeldeinformationen, API-Schlüssel und potenzieller Backdoors, die durch bösartige Modifikationen oder unerlaubten Zugriff auf legitime Cloud-Konfigurationsmanagement-Tools eingerichtet wurden. Das Incident-Response-Team ist aktiv an Eindämmungs-, Bereinigungs- und Wiederherstellungsmaßnahmen beteiligt, um betroffene Systeme zu isolieren und die Integrität kritischer Datenbestände zu validieren. Die robuste Sicherheitslage der Europäischen Kommission wird trotz dieses Angriffs nun intensiv hinsichtlich ihrer Risikomanagementrahmen für Dritte und ihrer kontinuierlichen Überwachungsfähigkeiten für SaaS-Ökosysteme geprüft.

Sportradar-Details in der TeamPCP-Kampagne bekannt

Neue Informationen sind bezüglich Sportradar, einem weltweit führenden Unternehmen für Sportdaten und -technologie, aufgetaucht, die deren Beteiligung oder Auswirkungen innerhalb der TeamPCP Supply Chain Kampagne anzeigen. Während das volle Ausmaß des Kompromisses noch bewertet wird, deuten vorläufige Berichte darauf hin, dass Sportradars umfangreiches Netzwerk von Partnern und Datenfeeds als Kanal für weitere Verbreitung oder als Ziel für die Datenerfassung gedient haben könnte. Die Art der Operationen von Sportradar, die riesige Mengen an Echtzeit-Sportdaten umfassen, macht es zu einem hochrangigen Ziel für verschiedene Bedrohungsakteure, von finanziell motivierten Gruppen bis hin zu staatlich gesponserten Entitäten, die nach Informationen oder Störungsmöglichkeiten suchen. Diese Entwicklung weist auf die vielfältige Targeting-Strategie der Kampagne hin, die über traditionelle Unternehmens-IT hinaus auf spezialisierte Datenanbieter ausgedehnt wird.

Forensische Teams untersuchen potenzielle Vektoren wie kompromittierte API-Endpunkte, unbefugten Zugriff auf interne Entwicklungsumgebungen oder die Ausnutzung von Schwachstellen in Drittanbieterkomponenten, die in Sportradars Plattformen integriert sind. Die Offenlegung der Verbindung von Sportradar zu TeamPCP unterstreicht ferner die weitreichende und wahllose Natur dieses Supply-Chain-Angriffs, der Organisationen in unterschiedlichen Branchen und operativen Profilen betrifft.

Mandiant quantifiziert Kampagne auf über 1.000 SaaS-Umgebungen

Mandiant, ein führendes Cybersicherheitsunternehmen, hat seine Einschätzung des Umfangs der TeamPCP-Kampagne dramatisch revidiert und beziffert die Gesamtzahl der kompromittierten SaaS-Umgebungen nun auf über 1.000. Diese aktualisierte Zahl, ein signifikanter Anstieg gegenüber früheren Schätzungen, unterstreicht die tiefgreifenden und weitreichenden Auswirkungen der Bedrohung „When the Security Scanner Became the Weapon“. Mandiants umfangreiche forensische Post-Compromise-Analyse in zahlreichen Opferorganisationen hat eine beispiellose Sichtbarkeit in das operative Tempo, die TTPs (Taktiken, Techniken und Prozeduren) der Kampagne und die schiere Breite ihrer Ziele ermöglicht.

Die Angreifer haben ein ausgeklügeltes Verständnis von SaaS-Ökosystemen bewiesen, indem sie den initialen Zugriff, der über Lieferkettenvektoren erlangt wurde – oft unter Einbeziehung kompromittierter legitimer Sicherheits- oder Entwicklungstools – nutzten, um umfangreiche Aufklärungsarbeiten durchzuführen, dauerhaften Zugriff zu erlangen und sensible Daten zu exfiltrieren. Die primäre Angriffskette beinhaltet oft:

• Initialer Kompromiss: Ausnutzung von Schwachstellen in weit verbreiteten SaaS-Anwendungen oder deren zugrunde liegenden Integrationen, oder Kompromittierung von Entwicklerkonten/Tools.
• Anmeldeinformationen-Erfassung & Lateralbewegung: Nutzung gestohlener Anmeldeinformationen oder API-Schlüssel zur Lateralbewegung innerhalb des SaaS-Ökosystems des Opfers und der verbundenen Cloud-Infrastruktur.
• Persistenz & Backdoor-Einrichtung: Bereitstellung ausgeklügelter Backdoors, oft als legitime Cloud-Funktionen oder Integrationen getarnt, um langfristigen Zugriff aufrechtzuerhalten.
• Datenexfiltration: Ziel ist der Diebstahl von sensiblen geistigem Eigentum, Kundendaten und strategischen Informationen für illegale Gewinne oder staatlich gesponserte Ziele.

Die über 1.000 Umgebungen umfassen eine Vielzahl von Sektoren, was die wahllose Natur der Kampagne und die allgegenwärtige Abhängigkeit von vernetzten SaaS-Plattformen in modernen Unternehmen unterstreicht. Dieser Umfang erfordert eine kollektive Reaktion der Industrie und eine Neubewertung der aktuellen Lieferketten-Sicherheitsparadigmen.

Technischer Tiefgang: Der waffenisierte Scanner & erweiterte Telemetriedatenerfassung

Die Kerninnovation der TeamPCP-Kampagne, wie in „When the Security Scanner Became the Weapon“ beschrieben, liegt in der Untergrabung des Vertrauens. Bedrohungsakteure haben legitime Sicherheitsscanner oder deren zugehörige Infrastruktur erfolgreich bewaffnet und sie in Kanäle für initialen Zugriff, Aufklärung und potenziell Datenexfiltration verwandelt. Dies beinhaltet oft:

• Einschleusen von bösartigem Code: Injizieren bösartiger Payloads in Open-Source-Komponenten, Plugins oder Bibliotheken, die von Sicherheitsscannern verwendet werden.
• API-Schlüssel-Kompromittierung: Erlangen von unbefugtem Zugriff auf API-Schlüssel oder Dienstkonten, die mit legitimen Sicherheitstools verbunden sind, wodurch deren Missbrauch ermöglicht wird.
• Supply Chain Poisoning: Verbreitung trojanisierter Versionen von Sicherheitstools über inoffizielle Kanäle oder Kompromittierung offizieller Verteilungswege.

Sobald der initiale Zugriff in der SaaS-Umgebung eines Ziels etabliert ist, führen die Bedrohungsakteure umfangreiche Netzwerkaufklärung und Metadatenextraktion durch. Dies beinhaltet die Enumeration von Cloud-Ressourcen, die Identifizierung sensibler Datenspeicher, die Zuordnung von Benutzerberechtigungen und das Verständnis der einzigartigen Cloud-Architektur des Ziels. Die Raffinesse dieser TTPs deutet auf gut ausgestattete und hartnäckige Gegner hin.

Nach einem so weit verbreiteten Kompromiss sind robuste digitale Forensik und Incident Response (DFIR) von größter Bedeutung. Ermittler müssen jedes verfügbare Telemetriedatum sammeln und analysieren. Um die Quelle eines Cyberangriffs zu identifizieren oder erweiterte Aufklärung über verdächtige Aktivitäten zu sammeln, sind Tools zur Telemetriedatenerfassung von unschätzbarem Wert. Wenn beispielsweise anomale Netzwerkverbindungen oder verdächtige Links, die während eines Spear-Phishing-Versuchs verbreitet wurden, untersucht werden, kann ein Tool wie iplogger.org verwendet werden. Durch das Einbetten eines Tracking-Links können Responder erweiterte Telemetriedaten wie die IP-Adresse, den User-Agent-String, ISP-Informationen und Geräte-Fingerabdrücke der zugreifenden Entität sammeln. Diese Metadaten sind entscheidend für die Link-Analyse, die Zuordnung von Bedrohungsakteuren und die Kartierung der Infrastruktur des Gegners und liefern kritische Informationen, die Eindämmungs- und Bereinigungsstrategien unterstützen.

Minderungsstrategien und Zukunftsausblick

Angesichts von Update 006 müssen Organisationen ihre Abwehrmaßnahmen gegen ausgeklügelte Supply-Chain-Angriffe dringend verstärken. Wichtige Minderungsstrategien umfassen:

• Verbessertes Supply-Chain-Risikomanagement: Gründliche Überprüfung aller Drittanbieter von SaaS und deren Sicherheitslage, einschließlich ihrer eigenen Lieferkettenabhängigkeiten. Implementierung einer kontinuierlichen Überwachung des Drittanbieter-Risikos.
• Zero-Trust-Architektur: Einführung eines Zero-Trust-Modells für alle Zugriffe auf Cloud-Ressourcen und SaaS-Anwendungen, das strenge Authentifizierungs- und Autorisierungsrichtlinien unabhängig vom Netzwerkstandort durchsetzt.
• API-Sicherheit & Governance: Implementierung robuster API-Sicherheitspraktiken, einschließlich starker Authentifizierung, Ratenbegrenzung, Eingabevalidierung und kontinuierlicher Überwachung des API-Verkehrs auf anomales Verhalten. Regelmäßige Rotation von API-Schlüsseln.
• Härtung des Identitäts- und Zugriffsmanagements (IAM): Erzwingen der Multi-Faktor-Authentifizierung (MFA) für alle Konten, insbesondere privilegierte. Regelmäßige Überprüfung und Auditierung von Benutzerberechtigungen, unter Einhaltung des Prinzips der geringsten Privilegien.
• Endpoint Detection and Response (EDR) & Cloud Security Posture Management (CSPM): Einsatz fortschrittlicher EDR-Lösungen auf allen Endpunkten und Verwendung von CSPM-Tools zur kontinuierlichen Überwachung von Cloud-Konfigurationen auf Fehlkonfigurationen und Compliance-Abweichungen.
• Integration von Bedrohungsdaten: Ständiges Informiertbleiben über die neuesten Bedrohungsdaten, einschließlich IOCs und TTPs, die mit der TeamPCP-Kampagne verbunden sind, um potenzielle Bedrohungen proaktiv zu erkennen und darauf zu reagieren.
• Vorbereitung auf Incident Response: Entwicklung und regelmäßiges Testen umfassender Incident Response Pläne, die speziell auf Cloud- und SaaS-Kompromittierungen zugeschnitten sind.

Die TeamPCP-Kampagne stellt eine signifikante Entwicklung bei Supply-Chain-Angriffen dar, die die Effektivität der Bewaffnung vertrauenswürdiger Tools und die Ausnutzung der Vernetzung moderner digitaler Ökosysteme demonstriert. Die Bestätigung eines Cloud-Angriffs auf die Europäische Kommission und die Quantifizierung von über 1.000 kompromittierten SaaS-Umgebungen erfordern eine sofortige und konzertierte Anstrengung von Organisationen weltweit, um ihre Sicherheitslage zu stärken und bei der Weitergabe von Bedrohungsdaten zusammenzuarbeiten, um dieser weit verbreiteten und anpassungsfähigen Bedrohung entgegenzuwirken.