Zwischen Social Engineering, SIM-Swapping und Festnahmen : Die Cybercrime-Gruppe „Scattered Spider“ ist nicht nur ein klingender Name in Sicherheitskreisen, sondern ein Paradebeispiel für die neue Generation junger, extrem wendiger Bedrohungsakteure im digitalen Untergrund. Hinter dem Namen verbirgt sich kein festes Kollektiv, sondern ein loses, dynamisches Netzwerk, das sich über Jahre durch seine Affinität zu Social Engineering, Cloud-Kompetenz und erschreckende Chuzpe hervorgetan hat.

Nun aber könnte ein erster Schlag gegen das Netzwerk gelungen sein: In Großbritannien wurden Mitte Juli 2025 vier jugendliche Personen im Alter zwischen 17 und 20 Jahren festgenommen. Der Vorwurf: Beteiligung an Cyberangriffen auf prominente Einzelhändler wie Marks & Spencer, Harrods und Co-op.

Die Methode: Täuschung statt Technikfetisch

Scattered Spider, auch bekannt unter Pseudonymen wie UNC3944, Octo Tempest oder Storm-0875, operiert seit mindestens 2022 und galt früh als besonders gefährlich, weil die Gruppe nicht primär auf technische Exploits setzte, sondern auf den Menschen am anderen Ende der Leitung. Der klassische Einstiegspunkt: der Helpdesk. Die Täter geben sich am Telefon oder per Chat als Mitarbeiter oder Dienstleister aus und lassen Passwörter oder MFA-Zugänge zurücksetzen – ein Ansatz, der ebenso simpel wie wirkungsvoll ist.

Dabei ist das Ziel stets gleich: der Zugriff auf privilegierte Unternehmensressourcen. Ist dieser erstmal erreicht, folgen Datenabzug, Erpressung, in vielen Fällen auch die Bereitstellung von Ransomware, zuletzt unter der Marke „DragonForce“ oder im Zusammenhang mit „RansomHub“. Besonders perfide ist das Vorgehen, eigene Identitätsprovider in bestehende Cloud-Infrastrukturen zu integrieren, um sich dauerhaft Zugriff zu sichern.

Das Besondere ist auch hier wiedermal, dass eine Gruppe sehr junger Menschen im Fokus steht.

Wenn Jugendliche zu Auftragskillern werden: Die dunkle Realität des „Violence-as-a-Service“

Zwischen Alphv, Qilin und RansomHub: Wandelbare Rollen im RaaS-Ökosystem

Die Gruppe agierte in der Vergangenheit als Affiliate verschiedener Ransomware-as-a-Service-Angebote, darunter Alphv (BlackCat), Qilin und jüngst wohl RansomHub. Diese Beweglichkeit innerhalb des RaaS-Ökosystems verdeutlicht zweierlei: Erstens, wie professionell Ransomware-Geschäftsmodelle mittlerweile strukturiert sind – inklusive Vertrieb, Support und Revenue-Sharing. Zweitens, wie austauschbar die operative Ebene solcher Gruppen ist, wenn ein Akteur wie Scattered Spider seine Dienste flexibel verschiedenen Plattformen zur Verfügung stellt.

Cybercrime-as-a-Service (CaaS)

Die Festnahmen: Ein Anfang?

Die britische National Crime Agency (NCA) verhaftete am 10. Juli vier mutmaßliche Gruppenmitglieder. Darunter befindet sich laut Medienberichten auch ein gewisser Thalha Jubair, dem bereits frühere Aktivitäten im Umfeld der Gruppe LAPSUS$ zugeschrieben wurden. Er soll unter Pseudonymen wie „Earth2Star“ oder „Asyntax“ aktiv gewesen sein und sich in einschlägigen Telegram-Gruppen bewegt haben. Auch Owen David Flowers, alias „bo764“, wurde identifiziert – ein Name, der nach dem MGM-Hack 2023 für kurze Zeit in Szeneportalen kursierte.

Staatliche Hacker im Überblick

Wir beschäftigen uns mit Cyberrisks – dazu gehört auch das Thema Cyberwar, wozu zahlreiche Informationen auf unserer Seite finden. Insbesondere bieten wir eine Artikelserie zum staatlichen Hacking: Zu den bedeutsamsten internationalen Akteuren gehören vor allem staatliche Akteure aus Russland, China und Iran. Diese Länder setzen verschiedene Taktiken ein, um ihre geopolitischen Interessen zu fördern und die Stabilität der europäischen Demokratien zu untergraben. Die Aktivitäten in diesem Bereich zumindest im Grundsatz zu verstehen ist eine wichtige Grundlage um Zugang zur Cyberspionage oder auch der Notwendigkeit von Cyber-Diplomatie zu erhalten!

Neben den im Folgenden benannten Hauptakteuren gibt es auch andere Länder und nichtstaatliche Akteure, die versuchen, Wahlen in Europa zu beeinflussen. Dazu gehören beispielsweise Gruppen, die im Auftrag von Regierungen oder aus eigenem Interesse handeln, um bestimmte politische Agenden voranzutreiben. Diese Akteure nutzen eine Vielzahl von Methoden, darunter Cyberangriffe, Desinformation, wirtschaftlichen Druck und diplomatische Manöver, um ihre Ziele zu erreichen. Die Europäische Union und ihre Mitgliedstaaten stehen vor der Herausforderung, diese Bedrohungen zu erkennen und abzuwehren, um die Integrität ihrer demokratischen Prozesse zu schützen. Losgelöst zu dieser Thematik gibt es inzwischen bei uns auch einen Beitrag zu den Cyberfähigkeiten Israels.

Russland

Russland ist bekannt für seine umfangreichen Desinformationskampagnen und Cyberangriffe, die darauf abzielen, das Vertrauen in demokratische Prozesse zu schwächen. Zu den bekanntesten Beispielen gehört die Beeinflussung der US-Wahlen 2016 sowie die Versuche, die Brexit-Abstimmung zu beeinflussen. Russische Akteure nutzen häufig Social-Media-Plattformen, um falsche Informationen zu verbreiten und gesellschaftliche Spaltungen zu vertiefen.

Russische Hacker und ihre Aktivitäten

China

China setzt zunehmend auf Cyberangriffe und Desinformationskampagnen, um seinen Einfluss in Europa auszubauen. Chinesische Hackergruppen sind dafür bekannt, Wirtschaftsspionage zu betreiben und sensible Informationen zu stehlen, die dann genutzt werden können, um politische Entscheidungen zu beeinflussen. Zudem versucht China, durch die Verbreitung von pro-chinesischen Narrativen in den Medien die öffentliche Meinung in Europa zu manipulieren.

Hackeraktivitäten und Spionage aus China

Iran

Iranische Akteure nutzen ebenfalls Desinformationskampagnen und Cyberangriffe, um ihre geopolitischen Ziele zu verfolgen. Diese Kampagnen zielen oft darauf ab, die Politik der USA und ihrer Verbündeten in Europa zu destabilisieren. Iranische Hackergruppen greifen dabei auf ähnliche Techniken zurück wie ihre russischen und chinesischen Gegenstücke.

Irans Cyberfähigkeiten und Hacker

Nordkorea

Nordkorea ist ein weiterer internationaler Akteur, der versucht, durch Cyberaktivitäten Einfluss auf Wahlen und politische Prozesse weltweit zu nehmen, einschließlich in Europa. Während Nordkorea im Vergleich zu Russland, China und Iran weniger im Fokus steht, gibt es dennoch bedeutende Aktivitäten, die von nordkoreanischen Akteuren ausgehen. Nordkorea nutzt auch Desinformation, um seine geopolitischen Ziele zu fördern und politische Unruhen zu schüren. Während es weniger dokumentierte Fälle von direkter Wahlbeeinflussung durch Nordkorea gibt, nutzt das Regime dennoch Cyberoperationen, um politischen Druck auszuüben und seine Interessen zu wahren, etwa durch Veröffentlichung von kompromittierenden Informationen über politische Kandidaten oder die Verbreitung von Propaganda.

Cyberkriminalität in Nordkorea und die Bedrohung der Kryptowährungsindustrie

Die mutmaßlichen Täter sind jung, teils noch Teenager, was ein beunruhigendes Licht auf die Anwerbungsmechanismen solcher Gruppen wirft: Online-Gaming-Communities, Foren und Messaging-Plattformen dienen als Rekrutierungsumfeld, in dem sich Fähigkeiten, Kontakte und Loyalitäten früh ausprägen. Die Schwelle vom „Script Kiddie“ zum professionellen Cybererpresser ist dabei nicht mehr hoch – die technische Einstiegshürde wird durch Toolkits, Tutorials und Discord-Support praktisch abgeschafft.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Das Narrativ des genialen Einzelhackers weicht dem Bild eines dezentral agierenden, unternehmerisch denkenden Kollektivs, das die Digitalisierung seinerseits ernst nimmt – und ausnutzt. Der Kampf gegen diese Form von Cyberkriminalität ist damit nicht nur eine technische oder strafrechtliche Herausforderung, sondern eine gesamtgesellschaftliche. Dabei soll es hier – wie man zu hören bekommt – auch Verbindungen zu Deutschland geben. Mal sehen ob da bald was kommt.

Fazit: Kein Einzelfall, sondern System

Scattered Spider ist keine Ausnahme, sondern exemplarisch für eine neue Angriffsrealität im Cybercrime. Wo früher Ransomware aus osteuropäischen Kellern kam, reichen heute ein iPhone, ein Telegram-Account und ein Schuss Dreistigkeit. Die jüngsten Festnahmen zeigen, dass Strafverfolgungsbehörden die Dynamik dieser Bedrohung erkennen – und handeln. Doch solange Unternehmen auf menschliche Schwachstellen in der Zugangsverwaltung setzen und Cloud-Systeme nicht nach dem Prinzip der „Zero Trust“-Architektur absichern, bleibt das Einfallstor offen.

Über
Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

BGH-Urteil zu Online-Coaching und FernUSG: Aktueller Stand - 16. November 2025
Unterlassene Zielvereinbarung: Schadensersatz und Grenzen arbeitsvertraglicher Ausschlussfristen - 15. November 2025
Verschärfung des Umweltstrafrechts 2025 - 15. November 2025