Cyber‑Spionage über Cloud‑Infrastruktur: Wie Angreifer Cloudflare‑Dienste ausnutzen
Sicherheitsforscher entdeckten eine Cyber‑Spionagekampagne gegen Organisationen in Malaysia, bei der Cloudflare‑Dienste wie R2, Workers, Pages und Tunnels zur Tarnung von Angriffen missbraucht werden. Angreifer nutzen vertrauenswürdige Cloud‑Infrastruktur, um Phishing‑Seiten zu hosten, Malware zu verteilen und gesto...
How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espionAttackers increasingly hide phishing, malware delivery, and command‑and‑control infrastructure inside trusted cloud platforms.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espion. Article summary: Government-backed or government-aligned hackers are abusing Cloudflare because its services provide cheap, reputable, TLS-protected infrastructure that often looks like normal business web traffic. In the Malaysia-focuse. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Russian state hackers abuse Cloudflare services to spy on Ukrainian targets. A Russian state-sponsored hacker group, known as Gamaredon, has been targeting Ukrainian-speaking vic" source context "Russian state hackers abuse Cloudflare services to spy on ..." Reference image 2: visual subject "**Help
openai.com
Cyber‑Spionagekampagnen verstecken sich immer häufiger dort, wo Unternehmen täglich arbeiten: in großen Cloud‑Plattformen.
Neue Sicherheitsanalysen zeigen, dass Angreifer bei gezielten Angriffen auf Organisationen in Malaysia vertrauenswürdige Cloud‑Infrastruktur nutzen, um ihre Aktivitäten zu verschleiern. Dabei werden Dienste wie Cloudflare R2, Workers, Pages und Tunnels eingesetzt, um Phishing‑Seiten zu hosten, Malware bereitzustellen und gestohlene Daten aus Netzwerken herauszuschleusen – häufig über Verbindungen, die wie normaler Web‑Traffic aussehen.
Für Verteidiger ist das ein großes Problem: Viele Unternehmen können Cloud‑Provider wie Cloudflare oder Microsoft Azure nicht einfach blockieren, ohne gleichzeitig legitime Anwendungen oder Geschäftsprozesse zu stören.
Die Malaysia‑Kampagne: Maßgeschneiderte Tools und versteckte Infrastruktur
Sicherheitsforscher identifizierten eine gezielte Angriffskampagne gegen mehrere Organisationen in Malaysia. Ein Teil der Infrastruktur lief auf Microsoft‑Azure‑Systemen in der Region „Malaysia West“.
Die Operation nutzte speziell entwickelte Python‑Tools, die für einzelne Ziele angepasst wurden. Diese Werkzeuge konnten unter anderem:
interne Netzwerke analysieren und Systeme auflisten
auf Datenbanken zugreifen
sensible Daten aus kompromittierten Systemen exfiltrieren
Die Analyse deutet darauf hin, dass Cloud‑Plattformen – darunter Cloudflare‑Dienste – gezielt eingesetzt wurden, um Teile der Angriffskette zu verschleiern und den Datenverkehr in gewöhnliche Cloud‑Kommunikation einzubetten.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „Cyber‑Spionage über Cloud‑Infrastruktur: Wie Angreifer Cloudflare‑Dienste ausnutzen“?
Sicherheitsforscher entdeckten eine Cyber‑Spionagekampagne gegen Organisationen in Malaysia, bei der Cloudflare‑Dienste wie R2, Workers, Pages und Tunnels zur Tarnung von Angriffen missbraucht werden.
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Sicherheitsforscher entdeckten eine Cyber‑Spionagekampagne gegen Organisationen in Malaysia, bei der Cloudflare‑Dienste wie R2, Workers, Pages und Tunnels zur Tarnung von Angriffen missbraucht werden. Angreifer nutzen vertrauenswürdige Cloud‑Infrastruktur, um Phishing‑Seiten zu hosten, Malware zu verteilen und gestohlene Daten über scheinbar legitimen Web‑Traffic abzutransportieren.
Was soll ich als nächstes in der Praxis tun?
Die Kampagne zeigt einen wachsenden Trend: staatlich unterstützte Akteure verstecken ihre Infrastruktur zunehmend in großen Cloud‑Plattformen, um Sicherheitskontrollen zu umgehen.
Cloudflare bietet Entwicklern leistungsfähige Werkzeuge für moderne Web‑Anwendungen. Genau diese Funktionen können jedoch auch von Angreifern genutzt werden, um unauffällige Angriffs‑Infrastruktur aufzubauen.
R2 Storage: Hosting für Phishing und Malware
Cloudflare R2 ist ein Objektspeicher‑Dienst, der Dateien oder statische Webseiten hosten kann. Angreifer nutzen ihn, um Phishing‑Seiten oder Malware‑Dateien abzulegen. Downloads wirken dadurch, als kämen sie von einer vertrauenswürdigen Cloud‑Domain.
Sicherheitsforscher beobachteten in der Vergangenheit sogar einen 61‑fachen Anstieg des Traffics zu Phishing‑Seiten auf Cloudflare R2 innerhalb von sechs Monaten – ein Hinweis darauf, wie schnell Angreifer solche Plattformen adaptieren.
Typische Einsatzmöglichkeiten:
gefälschte Login‑Seiten für Microsoft‑ oder Cloud‑Konten
Speicherung von Malware‑Archiven oder Loader‑Programmen
Bereitstellung von Zweit‑Stufen‑Payloads
Cloudflare Pages: Glaubwürdige Phishing‑Websites
Mit Cloudflare Pages lassen sich statische Websites global hosten. Angreifer können dort täuschend echte Phishing‑Portale veröffentlichen, die über Cloudflare ausgeliefert werden statt über auffällige Angreifer‑Domains.
Für Opfer wirkt die Seite dadurch oft vertrauenswürdig – und für Unternehmen ist ein vollständiges Blockieren schwierig, weil viele legitime Dienste ebenfalls über Cloudflare laufen.
Cloudflare Workers: Serverless‑Infrastruktur für Command‑and‑Control
Cloudflare Workers erlauben das Ausführen von JavaScript direkt am Edge‑Netzwerk von Cloudflare.
Angreifer können diese Funktion nutzen, um flexible Angriffs‑Infrastruktur aufzubauen, etwa:
Redirect‑Services, die Opfer auf Phishing‑Seiten weiterleiten
Reverse‑Proxies, die Login‑Daten abfangen
leichte Command‑and‑Control‑Systeme (C2)
Forscher zeigen, dass Workers sogar für sogenanntes „transparentes Phishing“ eingesetzt werden können. Dabei fungiert der Dienst als Proxy zu einer echten Login‑Seite und zeichnet im Hintergrund die eingegebenen Zugangsdaten auf.
Cloudflare Tunnels: Versteckte Infrastruktur hinter Firewalls
Mit Cloudflare Tunnel lassen sich interne Dienste über Cloudflare erreichbar machen, ohne die eigentliche Server‑Adresse offenzulegen.
Angreifer nutzen das unter anderem, um:
Malware über Links in Phishing‑Mails auszuliefern
Schadsoftware auf Cloudflare‑Subdomains zu hosten
Command‑and‑Control‑Server vor Internet‑Scans zu verstecken
Sicherheitsberichte dokumentieren Kampagnen, bei denen Remote‑Access‑Trojaner (RATs) über Cloudflare‑Tunnel verteilt wurden, um bösartigen Datenverkehr zu verschleiern.
Warum solche Angriffe schwer zu erkennen sind
Cloud‑basierte Infrastruktur verschafft Angreifern mehrere Vorteile.
Erstens sieht der Netzwerkverkehr zu großen Cloud‑Anbietern oft völlig legitim aus. Verbindungen zu Plattformen wie Cloudflare oder Azure ähneln normalen SaaS‑ oder CDN‑Zugriffen, wodurch Sicherheitslösungen schwer zwischen legitimen und bösartigen Verbindungen unterscheiden können.
Zweitens erlaubt Serverless‑Technologie Angreifern, ihre Infrastruktur schnell anzupassen. Code in Diensten wie Workers kann innerhalb von Sekunden verändert werden – etwa um neue Payload‑Server zu nutzen oder Weiterleitungen zu ändern.
Drittens verteilen Angreifer ihre Infrastruktur häufig über mehrere Cloud‑Provider. Das erschwert sowohl die technische Analyse als auch die eindeutige Zuordnung eines Angriffs.
Mögliche Täter – und die Schwierigkeit der Attribution
Die öffentlich bekannten Informationen zur Malaysia‑Kampagne weisen Merkmale auf, die staatlich unterstützter Cyber‑Spionage ähneln. Eine eindeutige Zuordnung zu einer bestimmten Gruppe gibt es jedoch nicht.
Einige Analysten sehen Ähnlichkeiten zu Aktivitäten der Gruppe APT41, einer China‑nahen Hackergruppe, die seit mindestens 2012 Cyber‑Spionagekampagnen gegen zahlreiche Branchen führt, darunter Technologie‑, Telekommunikations‑ und Gesundheitsunternehmen.
APT41 wurde bereits mehrfach dabei beobachtet, Cloud‑Infrastruktur und Content‑Delivery‑Netzwerke zu nutzen, um Command‑and‑Control‑Server oder operative Systeme zu verbergen.
Trotz dieser Parallelen gibt es keine bestätigte Attribution, die die Malaysia‑Kampagne eindeutig mit APT41, Mustang Panda oder Amaranth‑Dragon verbindet.
Warum Malaysia ein attraktives Ziel ist
Malaysia entwickelt sich zunehmend zu einem wichtigen digitalen Knotenpunkt in Südostasien.
Die Regierung und Industrie investieren stark in Technologien wie künstliche Intelligenz, Big Data, Cloud‑Services und Rechenzentren. Genehmigte digitale Investitionen erreichten RM163,6 Milliarden im Jahr 2024 und RM87,4 Milliarden im Jahr 2025.
Diese Entwicklung schafft wertvolle Ziele für Spionageoperationen, darunter:
Cloud‑Zugangsdaten und Unternehmensidentitäten
geistiges Eigentum und Software‑Code
Infrastruktur von Rechenzentren
digitale Systeme mit Nähe zu Regierungsbehörden
Für staatlich unterstützte Angreifer liefern solche Systeme sowohl wirtschaftliche Informationen als auch geopolitisch relevante Erkenntnisse.
Ein größerer Trend in der Cyber‑Spionage
Der Fall Malaysia zeigt eine breitere Entwicklung in modernen Cyber‑Operationen: Angreifer verlassen sich immer weniger auf offensichtlich bösartige Server und setzen stattdessen auf vertrauenswürdige Cloud‑Infrastruktur.
Indem Teile ihrer Angriffe in legitime Plattformen integriert werden – etwa Objektspeicher, Serverless‑Umgebungen oder CDN‑Netzwerke – profitieren sie von mehreren Vorteilen:
dem guten Ruf großer Cloud‑Provider
verschlüsseltem Datenverkehr, der normalem Web‑Traffic ähnelt
schnell skalierbarer und austauschbarer Infrastruktur
Für Sicherheitsteams bedeutet das, dass einfache Domain‑Blocklisten nicht mehr ausreichen. Stattdessen gewinnen Verhaltensanalysen, Monitoring ungewöhnlicher Cloud‑Nutzung und genaue Kontrolle ausgehender Datenströme zunehmend an Bedeutung.
Je stärker Cloud‑Plattformen wachsen, desto häufiger werden ihre legitimen Werkzeuge auch Teil der Infrastruktur moderner Cyber‑Spionage.
Comments
0 comments