Die Hackergruppe „CyberAv3ngers“ bedroht kritische Infrastrukturen. Seit 2020 führt sie gezielte Cyberangriffe durch, vor allem gegen industrielle Steuerungssysteme der USA und Israel. Das US-Außenministerium bietet bis zu zehn Millionen Dollar für Hinweise auf ihre Mitglieder.
Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören.
Die iranische Hackergruppe „CyberAv3ngers“ ist eine mit der Islamischen Revolutionsgarde (IRGC) verbundene APT-Gruppe, die seit mindestens 2020 aktiv ist. Die Gruppe hat sich darauf spezialisiert, kritische Infrastruktursysteme weltweit anzugreifen. Das US-Außenministerium hat CyberAv3ngers in ihr Programm Rewards for Justice (RFJ) aufgenommen, welches finanzielle Belohnungen für Informationen, die zur Festnahme oder Verurteilung von Terroristen führen, bietet.
Grundsätzlich bietet das RFJ eine Belohnung von bis zu zehn Millionen US-Dollar für Hinweise, die zur Identifizierung oder zum Aufenthaltsort von Personen führen, die im Auftrag oder unter der Kontrolle einer ausländischen Regierung an bösartigen Cyberangriffen gegen kritische Infrastrukturen der USA beteiligt sind und damit gegen den Computer Fraud and Abuse Act (CFAA) verstoßen.
Auf seiner Webseite nennt das RFJ-Programm sechs Akteure, die als CyberAv3ngers agieren. Diese sind iranische Sicherheitsbeamte, die mit bösartigen Cyberaktivitäten von Hackergruppen der iranischen Revolutionsgarde (IRGC) in Verbindung stehen. So ist einer von ihnen Leiter des Cyber-Elektronischen Kommandos der IRGC (IRGC-CEC) und Kommandeur der Quds-Einheit der IRGC, dem wichtigsten Mechanismus Irans zur Ausbildung und Unterstützung terroristischer Gruppen im Ausland. Er war an verschiedenen Cyber- und Geheimdienstoperationen der IRGC beteiligt. Die andere Mitglieder sind hochrangige Funktionäre des IRGC-CEC.
Im Oktober 2023 bekannten sich Mitglieder von CyberAv3ngers auf ihrem Telegram-Kanal zu den Cyberangriffen auf israelische speicherprogrammierbare Steuerungen (SPS). Am 2. Februar 2024 verhängte das US-Finanzministerium Sanktionen gegen die sechs Funktionäre des Zentralen Exekutivkomitees der Revolutionsgarden (IRGC-CEC) wegen ihrer Cyberangriffe. Sie wurden als besonders benannte Staatsangehörige eingestuft, da sie Führungskräfte oder Funktionäre des IRGC-CEC sind. Infolge dieser Einstufung wurden sämtliche Vermögenswerte und Vermögensinteressen dieser Akteure, die sich in den Vereinigten Staaten befinden oder im Besitz oder unter der Kontrolle von US-Bürgern stehen, gesperrt. Die Einstufung verbietet außerdem allen US-Bürgern sowie allen Transaktionen, die innerhalb der Vereinigten Staaten oder durch sie erfolgen, jegliche Geschäfte, die Vermögenswerte oder Interessen von benannten oder anderen gesperrten Personen betreffen.
Berichten von Fortinet zufolge nutzt die Gruppe vor allem Sicherheitslücken in SPS aus, die häufig in der Abwasser- und Bewässerungstechnik eingesetzt werden, insbesondere solche israelischer Hersteller. So habe die Gruppe die speicherprogrammierbaren Steuerungen der Vision-Serie des israelischen Herstellers Unitronics ins Visier genommen und kompromittiert. Diese SPS werden in der Wasser- und Abwasserwirtschaft, der Energiebranche, der Lebensmittel- und Getränkeindustrie, der Fertigungsindustrie, dem Gesundheitswesen und weiteren Branchen eingesetzt.
Zudem hätten die Akteure bereits die SchwachstelleEUVD-2023-31841* / CVE-2023-28130 (CVSS-Score 7.2, EPSS-Score 3.79) in Check Point Gaia Portal sowie die Schwachstelle EUVD2023-58685 / CVE-2023-6448 (CVSS-Score 9.8, EPSS-Score 13.29) in Visilogic ausgenutzt, die häufig in der Automatisierungs- und Steuerungstechnik eingesetzt werden.
Vorrangig nutze die Hackergruppe dem RFJ-Programm nach die Schadsoftware „IOCONTROL“. Damit hätten sie bereits Router, SPS, Mensch-Maschine-Schnittstellen (HMIs), Firewalls, IP-Kameras sowie Linux-basierte IoT- und SCADA-/OTA-Plattformen (Supervisory Control and Data Acquisition/Over-The-Air). Diese Cyberwaffe habe CyberAv3ngers unter anderem gegen Hersteller wie Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact und Teltonika sowie gegen zivile Infrastrukturen in verschiedenen Ländern gerichtet.
Unternehmen und Organisationen können verschiedene Maßnahmen ergreifen, um sich vor CyberAv3ngers und ähnlichen Bedrohungen zu schützen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Halten Sie IT- und OT-Systeme regelmäßig auf dem neuesten Stand, um bekannte Schwachstellen zu schließen, wie zum Beispiel EUVD-2023-31841 / CVE-2023-28130 in Check Point Gaia und EUVD-2023-58685 / CVE-2023-6448 in Visilogic.
Ersetzen Sie Werkseinstellungen für Passwörter und deaktivieren Sie Backdoor- oder Administratorkonten in PLCs (Programmable Logic Controllers) und ICS-Geräten (Industrial Control Systems), um häufig ausgenutzte Angriffspunkte zu minimieren.
Isolieren Sie OT/ICS-Umgebungen von IT-Netzwerken und dem Internet durch Firewalls, VPNs mit Multifaktor-Authentifizierung und, wo möglich, Air-Gapping, um den Fernzugriff zu blockieren.
Implementieren Sie kontinuierliche Anomalieerkennung in OT- und IT-Systemen, um verdächtige Aktivitäten wie Brute-Force-Versuche oder unübliche PLC-Abfragen (Programmable Logic Controller) zu erkennen.
Überprüfen Sie die Konfigurationen von Unitronics Vision Series PLCs und beschränken Sie deren Internetzugänglichkeit, um die Risiken zu minimieren.
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a2/8da27fc7c09f2450bd5214b4f257eb6d/0130046697v2.jpeg "Hybride Angriffe umfassen Cyberangriffe, Desinformationskampagnen, Sabotage an kritischen Infrastrukturen, psychologische Kriegsführung, Wirtschaftsspionage, politische Einflussnahme und Terrorismus, oft in Kombination, um Unsicherheit und Instabilität zu erzeugen. (Bild: © Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/d6/65d68a4361e126b94d503df6bb261ba3/0130366883v2.jpeg "Cyberkriminelle könnten sich mit den von AstraZeneca Zugang zu internen Systemen verschaffen, gezielte Phishing‑ und Supply‑Chain‑Angriffe starten, geistiges Eigentum stehlen oder sabotieren und das Unternehmen erpressen. (Bild: © elimicel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/64/54644475acec039714a3eccc088b6c43/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/76/73/76739779efb9769d8db4c9d4a39848ef/0130322258v2.jpeg "Digitale Energiedienste wie virtuelle Kraftwerke fallen mit NIS 2 erstmals unter neue IT-Sicherheitskataloge mit erweiterten Nachweispflichten. (Bild: © Sepia100 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/a3/eca37fce2ba0d38dad094cc1703dfe91/0130327741v2.jpeg "LLM-Fail: Eine vom Kunden gemeldete RCE-Sicherheitslücke wurde fälschlicherweise als „Low“ eingestuft. (Bild: © tadamichi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/03/b4/03b4c15b48445e79113c6b95bcf7317c/0129192770v1.jpeg "Lageansicht statt Monitorwand: In der Sicherheitszentrale erscheinen Türen, Kameras und Sensorik als Geopositionen. Videosequenzen werden erst bei korrelierten Signalen und nach Zonenüberschreitung in den Vorfallprozess eingeblendet. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/71/b8/71b89342d5495344574b15b04a52df74/0130317518v2.jpeg "CRA und NIS2 fordern überprüfbare Software-Sicherheit. Hersteller müssen sichere Entwicklung attestieren, Betreiber diese Nachweise durch SBOM und Provenance validieren. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/3f/be3f0a2f5d8add0792f692767111cc40/0130308668v2.jpeg "Cyberkriminelle, die Netzwerkzugriff über HTTP erlangt haben, können anfällige Oralce-Instanzen übernehmen. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a0/8a/a08ac0cb9a60ba7fa981a3b9ff8ba04f/0129989079v1.jpeg "BitLocker bietet mehrere Optionen zur Sicherung des Wiederherstellungsschlüssels, wie den Schlüssel auf einem USB-Laufwerk zu speichern oder in einem Microsoft-Konto zu hinterlegen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/8e/a2/8ea2c975f60e1d9063cf854bae270259/0127936106v2.jpeg "Staatlich geförderte Cyberkriminelle richten ihren Fokus verstärkt auf OT-Umgebungen und cyber-physische Systeme. (Bild: © BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/6d/da6d37e964416f8b1073c35f79c21408/0125712094v1.jpeg "Die Hacker-Gruppe Silk Typhoon gilt als eine der perfidesten und ressourcenstärksten chinesischen Cyber-Einheiten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/05/37/053721dfd2adc76915033d6ca9678c77/0126422600v2.jpeg "Diese Behörden haben gemeinsam die Sicherheitswarnung zu Salt Typhoon veröffentlicht. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/12/98/1298c219f7003ab25f4b9dfc69b899ff/0126172662v2.jpeg "Das Gesundheitswesen entwickelt sich zur meistangegriffenen Branche, mit durchschnittlich zwei Sicherheitsvorfällen pro Tag in den USA und ähnlichen Trends in Europa. (Bild: © Artyom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/4a/e84a6a234eaff2f4a945057ce3e139aa/0127828889v2.jpeg "Die mutmaßlich staatlich geförderte, chinesische Hackergruppe „Salt Typhoon“ kompromittiert laut CISA und BSI weltweit Router und Netzwerkinfrastrukturen, um Kommunikationsdaten abzugreifen und anhaltende Spionagestrukturen aufzubauen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/56/24/56248352b775fd41737964a77b2aa54d/0122913445v1.jpeg "Der „State of CPS Security 2025“-Report von Claroty zeigt: Staatlich unterstützte Akteuere nutzen unsichere Verbindungen in Produktion, Transport und Logistik für Angriffe aus. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/a4/f9a440b22c5e243866bef761b9700c7a/0126739906v2.jpeg "NoName057(16) ist eine – vermutlich von der russischen Regierung gesponserte – Hackergruppe, die derzeit für Aufsehen sorgt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/0e/0d0e94ef36ab18908daf271ce57c5b6e/0130083847v2.jpeg "Ältere Sicherheitslücken sind für Hacker besonders interessant, da sie häufig in vielen Organisationen ungesichert bleiben, was die Wahrscheinlichkeit ihrer Ausnutzung erhöht. DIes führt zu oftmals sehr hohen EPSS-Scores. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/84/3584337f6e823e3ab1d8c47935d9449a/0130155465v2.jpeg "Die CISA warnt vor zwei aktiv ausgenutzten Schwachstellen im Wing FTP Server: EUVD-2025-21020 / CVE-2025-47813, die es Angreifern ermöglicht, den lokalen Installationspfad der Anwendung zu ermitteln, und die kritische EUVD-2025-21009 / CVE-2025-47812, die zu Remote Code Execution führen kann. (Bild: valerybrozhinsky - stock.adobe.com)")