Muddling Meerkat, ein DNS-Bedrohungsakteur vermutlich unter chinesischer Kontrolle, nutzt gezielt die Great Firewall of China, um DNS-Anfragen zu manipulieren und seine Aktivitäten zu verschleiern. Durch spezialisierte Angriffe, die schwer erkennbar sind, wie Slow-Drip-DDoS, bleibt das wahre Ziel dieser langfristigen Operationen unklar.
Muddling Meerkat ist ein neuartiger DNS-Bedrohungsakteur, der für China aktiv zu sein scheint.
(Bild: Infoblox)
Staatlich gelenkte Bedrohungsakteure sind in spektakuläre Angriffe verwickelt, die sofort in den Nachrichten zu sehen sind. Infoblox Threat Intel und ein Team aus externen Sicherheitsexperten haben nun einen solchen Bedrohungsakteur aufgedeckt, den sie Muddling Meerkat (verwirrendes Erdmännchen) getauft haben. Auf den ersten Blick wirkt dieser eher unauffällig, er ist aber durchaus beachtenswert. Neben einigen anonymen Securityforschern und -anbietern war auch die unabhängige Non-Profit-Organisation “Merit Network” an der Untersuchung beteiligt. Die Zusammenarbeit zwischen allen Datenerhebern hat maßgeblich zur Aufdeckung beigetragen, da es unmöglich ist, die vollständigen Aktivitäten von Muddling Meerkat aus einer einzelnen Perspektive zu erkennen und in Beziehung zu setzen.
Ein geduldiges Erdmännchen
Muddling Meerkat ist ein neuartiger DNS-Bedrohungsakteur, der für China aktiv zu sein scheint. Diese Verbindung lässt sich daraus ableiten, dass Muddling Meerkat mit zwei Bereichen interagiert, die eng mit China verbunden sind.
Zum einen scheint Muddling Meerkat eine gewisse Kontrolle über die Great Firewall of China (GFW) zu haben. Der Begriff „Great Firewall of China“ bezeichnet diejenigen Mechanismen, mit denen die chinesische Regierung das Internet im eigenen Land zensiert. Darüber hinaus injiziert sie falsche Antworten in DNS Queries. Der Bedrohungsakteur nutzt die GFW in erster Linie, um eine falsche Fährte zu legen, so dass die eigenen Aktivitäten zu verschleiern werden. Darüber hinaus setzt Muddling Meerkat auf ein Verfahren, das Slow-Drip-DDoS-Attacken ähnelt, bei denen Dienste über einen längeren Zeitraum mit Datenverkehr überlastet werden. Diese Angriffe sind für die meisten Sicherheitssysteme schwer zu erkennen, da der zusätzliche Verkehr im Vergleich zum normalen Betrieb kaum auffällt und daher nicht als Bedrohung erkannt wird.
Die Ziele bleiben unklar
Auch wenn die Aktivitäten von Muddling Meerkat auf den ersten Blick wie ein DNS-DDoS-Angriff erscheinen, sind die Ziele des Bedrohungsakteurs derzeit noch nicht bekannt. Denn bislang handelt es sich (noch) nicht um ausgereifte DDoS-Angriffe, da das Volumen des Verkehrs deutlich zu gering ist, um autoritative Nameserver ernsthaft zu überlasten.
Der Diebstahl von Daten scheint ebenfalls nicht das Ziel von Muddling Meerkat zu sein, da der Bedrohungsakteur keinen Zugriff auf autoritative Server besitzt und stattdessen Subdomains verwendet. Diese können allerdings nur eine sehr begrenzte Menge an Informationen transportieren.
Etwas wahrscheinlicher ist die Variante, dass es sich um einen Versuch handelt, zahlreiche Netzwerke zu kartografieren. Die Komplexität der Vorgehensweise von Muddling Meerkat ist dafür jedoch zu hoch, weshalb auch dieser Erklärungsversuch nicht zweifelsfrei herangezogen werden kann.
Es ist ebenfalls möglich, dass die Aktivitäten von Muddling Meerkat lediglich der Vorbereitung einer groß angelegten DDoS-Attacke dienen. Um einen solchen Angriff durchzuführen, müssten die Verantwortlichen hinter Muddling Meerkat die gesamte Operation allerdings noch einmal stark anpassen.
In der Vergangenheit wurden bei ähnlichen Bedrohungen auch immer wieder Zweifel laut, ob es sich tatsächlich um eine gezielte und geplante Operation handelt. Vielmehr sei es durchaus möglich, dass ein Bug für die Aktivitäten verantwortlich sei. Die bisherigen Erkenntnisse deuten allerdings darauf hin, dass sämtliche Aktionen mit voller Absicht durchgeführt wurden.
Auch wenn die genauen Hintergründe und Absichten von Muddling Meerkat noch unklar sind: Fest steht, dass der Bedrohungsakteur nicht auf kurzfristigen Schaden aus zu sein scheint. Stattdessen sind die Operationen langfristig angelegt, denn Mudding Meerkat ist bereits seit 2019 aktiv.
So funktioniert Muddling Meerkat
Die Vorgehensweise von Muddling Meerkat zeugt von einer besonders hohen Expertise im Bereich des DNS.
Zunächst sendet der Bedrohungsakteur mit Hilfe chinesischer IP-Adressen DNS-Anfragen an zufällige ausgewählte IP-Adressen auf der ganzen Welt. Zusätzlich nutzt Muddling Meerkat Mail-Exchange-Record-Abfragen (MX) und andere DNS Record-Typen für zufällige ausgewählte kurze Hostnamen in Domains, die sich außerhalb der eigenen Kontrolle befinden. Mit Hilfe chinesischer IP-Adressen und der GFW werden dann gefälschte Mail-Exchange-Records erstellt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mudding Meerkat umgeht dabei geschickt DNS-Blocklisten, indem extrem alte Domains verwendet werden, die größtenteils vor dem Jahr 2000 registriert wurden. Viele dieser Domains werden von Organisationen für Active Directory- oder DNS-Suchdomains verwendet, auch wenn sie dem Unternehmen nicht gehören. Der aktuelle Status der missbrauchten Domains scheint dabei eine untergeordnete Rolle zu spielen. Stattdessen wählt Muddling Meerkat die Domains vor allem aufgrund ihrer Länge und ihres Alters aus. Während einige der missbrauchten Domains bereits nicht mehr oder für fragwürdige Zwecke genutzt werden, sind andere weiterhin von legitimen Instanzen in Gebrauch.
Muddling Meerkat verzichtet auf groß angelegtes Spoofing und setzt stattdessen auf DNS-Anfragen von speziell dafür eingesetzten Servern. Diese Anfragen sind allerdings in ihrem Umfang begrenzt, um eine Erkennung durch Sicherheitssysteme oder eine Unterbrechung des Dienstes zu verhindern.
Die GFW spielt dabei eine essenzielle Rolle für Muddling Meerkat: Indem sie falsche Antworten auf die DNS-Abfragen aussendet, verschwinden die Aktivitäten des Bedrohungsakteurs in der Menge und werden so verschleiert. Das erschwert die Analyse enorm. Die gezielte Nutzung der GFW stellt eine neue Dimension einer solchen Bedrohung dar und ist in diesem Ausmaß bisher noch nicht bekannt. Daher verdichten sich die Hinweise, dass Muddling Meerkat unter chinesischer Kontrolle steht und im Interesse der Volksrepublik agiert.
So können sich Unternehmen schützen
Die Forschungsergebnisse zeigen, wie gefährdet Unternehmen durch die Komplexität moderner Internetkommunikation geworden sind. Doch es gibt einige Maßnahmen, die Netzwerkadministratoren und Co. ergreifen können.
Zunächst sollten offene und ungeschützte DNS-Resolver im eigenen Netzwerk abgeschaltet werden. Diese sind nicht immer leicht zu identifizieren, Unternehmen können hierbei jedoch auf die Unterstützung spezialisierter Partner zurückgreifen.
Zudem sollten Organisationen keine Domains als Active Directory oder DNS Search Domains verwenden, die ihnen nicht gehören. Dies erhöht die Wahrscheinlichkeit, dass Informationen über ihr Netzwerk an den autoritativen Nameserver und andere Instanzen weitergegeben werden, über die sie keine Kontrolle haben.
Außerdem ist es sinnvoll, DNS Detection and Response (DNSDR) in dem eigenen Security-Stack zu implementieren. Nur ein DNS-Resolver kann diese Art von bedrohlichen Aktivitäten frühzeitig erkennen. Die überwiegende Mehrheit der Security-Systeme ist oft nicht einmal in der Lage, zwischen einem MX-Query und einem A-Record-Query zu unterscheiden.
DNS: Die unterschätzte Sicherheitstechnologie
Auch wenn Muddling Meerkat auf den ersten Blick keine große Gefahr darzustellen scheint, sollten sich Unternehmen in Acht nehmen. Da wir noch nicht viel über die wahren Intentionen des Bedrohungsakteurs wissen, ist weiterhin Vorsicht geboten.
Doch die gute Nachricht: Unternehmen können sich vorbereiten. Sie sind DNS-Angriffen oder gefährlichen Aktivitäten wie denen von Muddling Meerkat nicht schutzlos ausgeliefert. Denn, richtig eingesetzt, bietet DNS auch die Möglichkeit, gegen diese Gefahren zu schützen. DNS wird bereits von jedem Teilnehmer in der eigenen Kommunikation mit dem Internet eingesetzt. Der Schritt ist also nicht sehr weit, DNS auch für die Gefahrenabwehr zu nutzen und somit besser gegen Akteure wie Muddling Meerkat geschützt zu sein.
Über die Autorin: Dr. Renée Burton ist die Leiterin der Abteilung Threat Intel bei Infoblox. Sie ist Expertin für DNS-basierte Bedrohungen mit 22 Jahren Erfahrung und leitet die Algorithmenentwicklung und Forschung im Bereich DNS-Intelligence.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/69/4069a9f596e9cdf246bbe3be2ece1c72/0128896554v2.jpeg "Der WEF Global Cybersecurity Outlook 2026 zeigt, dass Unternehmen ihre Sicherheitsstrategien anpassen müssen, indem sie sich auf KI-bezogene Risiken konzentrieren, den Schutz kritischer Infrastrukturen stärken und die Resilienz von Lieferketten verbessern, um mit der Bedrohungslage Schritt zu halten. Auch Quantensicherheit sollte dringend eine Rolle spielen. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/82/58/8258f77602765b44d67c3a2130f4aefd/0127117122v1.jpeg "DNS-Datenanalysen belegen, dass Vane Viper in etwa 50 Prozent der Kundennetzwerke von Infoblox sichtbar ist. (Bild: © Gold - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/17/c117a56c5982733e6b7c941bfd9b0f9f/0126586830v2.jpeg "Pharming ist eine Form des Cyberbetrugs durch DNS-Manipulation, bei der Benutzerdaten durch Umleitung auf gefälschte Webseiten gestohlen werden. (Bild: gemeinfrei)")