SocGholish-Botnet: Polizei beschlagnahmt 106 Server und bereinigt 15.000 Webseiten
20.06.2026 - 00:18:48 | boerse-global.de
Am 18. Juni beschlagnahmten Ermittler im Rahmen der Operation Endgame 106 Server und Domains der Cyberkriminellen. Zudem wurden knapp 15.000 kompromittierte WordPress-Webseiten bereinigt, die zur Verbreitung der Schadsoftware dienten.
Beteiligte Behörden und Umfang der Aktion
An der koordinierten Aktion beteiligten sich das niederländische National High Tech Crime Unit (NHCTU), das US-amerikanische FBI, die kanadische Bundespolizei RCMP sowie das deutsche Bundeskriminalamt (BKA). Unterstützt wurden sie von Europol und Eurojust. Die Behörden durchkämmten die Kommando- und Kontrollinfrastruktur des Botnets, der seit 2017 aktiv ist.
Anzeige: Wer seine WordPress-Seite nach der SocGholish-Aktion absichern will, findet in diesem kostenlosen Report die wichtigsten Sofortmaßnahmen – von der Passwort-Änderung bis zur 2FA-Einrichtung. Jetzt kostenlosen Sicherheits-Report anfordern
Dabei stießen die Ermittler auf eine erschreckende Datenmenge: Rund 1,4 Millionen Zugangsdaten für Webseiten hatten die Betreiber abgegriffen. Besonders brisant: 154.000 kompromittierte E-Mail-Adressen und mehr als 500.000 bislang unbekannte Passwörter wurden an den Benachrichtigungsdienst HaveIBeenPwned übergeben. Betroffene Nutzer können dort prüfen, ob ihre Daten im Umlauf sind.
So funktioniert die Schadsoftware
SocGholish – von Sicherheitsexperten auch als FakeUpdates bekannt – gilt als Spezialist für den ersten Zugang zu Unternehmensnetzwerken. Die Masche ist perfide: Die Malware befällt legitime Webseiten, etwa von kleinen Unternehmen, Restaurants oder Autowerkstätten. Besucher werden aufgefordert, ein vermeintlich kritisches Browser-Update herunterzuladen. In Wirklichkeit installieren sie damit die Schadsoftware.
Die Sicherheitsfirma Infoblox warnte bereits Anfang des Jahres: Rund 55 Prozent ihrer Cloud-Kunden waren SocGholish-Aktivitäten ausgesetzt. Das macht den Botnet zu einem der gefährlichsten Einfallstore für Cyberangriffe.
Verbindung zu Ransomware und Evil Corp
Die Infrastruktur diente als Drehkreuz für mehrere berüchtigte Erpressungstrojaner. Ermittler fanden Verbindungen zu Ransomware-Varianten wie WastedLocker, LockBit, RansomHub, Hades und DoppelPaymer. Branchenexperten bezeichnen SocGholish als einen der wichtigsten „Initial Access Broker" – also Dienstleister, die anderen Kriminellen den Einstieg in Unternehmen ermöglichen.
Hinter dem Netzwerk steckt nach Erkenntnissen von Strafverfolgern und Privatunternehmen die russischsprachige Gruppe Evil Corp, auch als INDRIK SPIDER bekannt. Die Malware wird von verschiedenen Sicherheitsorganisationen unter den Namen TA569 oder Mustard Tempest geführt.
Dimensionen des Schadens
Anzeige: Fast 55 % der Cloud-Kunden waren SocGholish ausgesetzt – und Ihr Unternehmen? Dieser Leitfaden zeigt, wie Sie Ihre WordPress-Seite auf Kompromittierung prüfen und Ransomware-Risiken durch Initial Access Broker minimieren. WordPress-Sicherheits-Check jetzt sichern
Die Stiftung Shadowserver liefert erschreckende Zahlen: Allein zwischen Mai 2023 und Mai 2026 wurden mehr als 1,44 Millionen WordPress-Installationen von SocGholish missbraucht. Das Ausmaß zeigt, wie verwundbar das weltweit verbreitete Content-Management-System ist.
Was nun zu tun ist
Maikel Rollman vom niederländischen NHCTU machte deutlich: „Die aktuellen Beschlagnahmungen sind erst der Anfang." Weitere Maßnahmen gegen das Netzwerk seien geplant. Die Behörden appellieren an Webseiten-Betreiber, ihre Systeme zu überprüfen, Software zu aktualisieren, eine Zwei-Faktor-Authentifizierung einzurichten und alle administrativen Zugangsdaten zu ändern. Nur so lasse sich eine erneute Infektion verhindern.
