Cybercrime-Gruppe Muddled Libra entwickelt sich zur industriellen Bedrohung

Die jüngsten Aktivitäten der Bedrohungsgruppe folgen gemäss dem Bericht auf eine Reihe internationaler Strafverfolgungsoperationen, die Mitte bis Ende 2024 auf die Zerschlagung der Bedrohungsgruppe abzielten. Inzwischen sei Muddled Libra mit verbesserten Fähigkeiten wieder aufgetaucht, heisst es im Unit 42-Forschungsbericht.

Die wichtigsten Erkenntnisse des Berichts im Überblick:
-- Schnellere Angriffe: Im Jahr 2025 verbrachte Muddled Libra demnach durchschnittlich nur 1 Tag, 8 Stunden und 43 Minuten vom ersten Zugriff bis zur Eindämmung in einer Umgebung. Die Gruppe konnte innerhalb von 40 Minuten durch Social Engineering eines Helpdesk-Mitarbeiters Domain-Admin-Rechte erlangen.
-- Modulare Teamstruktur: Die Gruppe hat sich in mindestens sieben spezialisierte Teams aufgeteilt – von Software-Spezialisten über Experten für die Manipulation von Cloud-Infrastrukturen bis hin zu Teams für destruktive Erpressungsaktionen.
-- KI als Multiplikator: Muddled Libra setzt Deepfake-Voice-Technologie für die Manipulation von Helpdesks ein und nutzt KI-gestützte Tools für automatisierte Angriffsketten. Durch den Einsatz von KI und LLMs können aus 1.000 Opfern mehr als 10.000 werden.
-- Von Verschlüsselung zu Zerstörung: Die Gruppe arbeitet mindestens seit April 2025 mit dem Ransomware-as-a-Service-Anbieter Dragonforce zusammen. Statt einfacher Datenverschlüsselung werden nun virtuelle Infrastrukturen und Cloud-Assets gezielt zerstört.

Weitere Informationen sowie Handlungsempfehlungen:
https://unit42.paloaltonetworks.com/muddled-libra/
Blogpost: https://www.paloaltonetworks.com/blog/2025/07/muddled-libra-social-engin...