Die Bedeutung Aserbaidschans für Europas Energieversorgung wächst seit Jahren. Umso größer ist die Aufmerksamkeit, wenn Cyberkriminelle gezielt Unternehmen aus diesem Bereich ins Visier nehmen. Sicherheitsforscher von Bitdefender Labs berichten über Angriffe auf ein Unternehmen der Energie-Infrastruktur in Aserbaidschan. Nach ihrer Analyse deutet vieles darauf hin, dass die Aktivitäten der Hackergruppe FamousSparrow zuzuordnen sind, der Verbindungen zu staatlich unterstützten chinesischen Cyberoperationen nachgesagt werden.
Die Experten sprechen von einer gezielten Spionagekampagne. Das Ziel der Angreifer sei nicht eine schnelle Störung von Systemen gewesen, sondern ein möglichst unauffälliger und langfristiger Zugang zu internen Netzwerken. Gerade Unternehmen aus dem Öl- und Gassektor stehen seit Jahren im Fokus professioneller Hackergruppen, weil dort wirtschaftlich und geopolitisch besonders sensible Informationen verarbeitet werden. Der Fall erhält zusätzliche Brisanz durch die aktuelle Rolle Aserbaidschans auf dem europäischen Energiemarkt.
Nach Angaben von Bitdefender beliefert das Land seit 2026 insgesamt 16 europäische Staaten mit Erdgas. Zuvor waren es 14 Länder. Seit Jänner 2026 zählen auch Deutschland und Österreich zu den Abnehmern. Gleichzeitig stieg das Exportvolumen nach Europa innerhalb von fünf Jahren um rund 56 Prozent. Vor dem Hintergrund wiederkehrender Spannungen im Nahen Osten und Beeinträchtigungen des Schiffsverkehrs durch die Straße von Hormus wird die Region für Europas Energieversorgung immer wichtiger.
Besonders auffällig war laut den Forschern die Hartnäckigkeit der Angreifer. Die Hacker sollen im Winter 2025/2026 mehrfach versucht haben, über denselben verwundbaren Microsoft-Exchange-Server in das Netzwerk einzudringen. Selbst nachdem Sicherheitsmaßnahmen die Angriffe abgewehrt hatten, kehrten die Täter zurück und passten ihre Methoden an. Ein erster dokumentierter Versuch erfolgte Ende Dezember 2025. Dabei versuchten die Angreifer, eine als ProxyNotShell bekannte Schwachstelle in Microsoft Exchange auszunutzen.
Nach Angaben von Bitdefender wollten sie darüber die Schadsoftware Deed installieren. Diese gehört zur Kategorie sogenannter Remote-Access-Trojaner und kann Angreifern ermöglichen, aus der Ferne auf kompromittierte Systeme zuzugreifen. Um nicht aufzufallen, sollte die Schadsoftware über den legitimen VPN-Dienst LogMeIn Hamachi eingeschleust werden. Als dieser Versuch scheiterte, änderten die Täter ihre Vorgehensweise. Ende Jänner und Anfang Februar 2026 registrierten die Sicherheitsforscher einen weiteren Angriff.
Diesmal wollten die Hacker eine sogenannte Terndoor-Backdoor installieren. Zum Einsatz kam dabei laut Analyse ein Mofu-Loader, ein spezieller Programmcode, der weitere Schadsoftware nachladen kann. Auch dieser Angriff wurde rechtzeitig erkannt und gestoppt. Doch damit gaben sich die Angreifer nicht zufrieden. Ende Februar 2026 startete ein dritter dokumentierter Angriff. Erneut kam die Schadsoftware Deed zum Einsatz, diesmal jedoch in veränderter Form. Wieder versuchten die Täter, denselben Zugangspunkt für ihre Attacke zu nutzen.
Für die Experten ist dieses Verhalten ein Hinweis darauf, dass die Gruppe ein besonders großes Interesse an dem betroffenen Unternehmen hatte. Die Untersuchung zeigt, wie professionell die Hacker vorgingen. Statt einer üblichen Manipulation von Dateien nutzten sie einen ungewöhnlichen Mechanismus, um ihre Schadsoftware zu verstecken. Dabei wurden nicht einfach Programmdateien ausgetauscht. Stattdessen veränderten die Angreifer gezielt zwei Funktionen innerhalb einer schädlichen Bibliothek.
Nachdem ein erster Zugang gelungen war, bewegten sich die Täter auch im Netzwerk weiter. Nachweise dafür fanden sich unter anderem bei der Nutzung von Remote Desktop Protocol sowie des SMB-Protokolls. Die Angreifer verwendeten offenbar Zugangsdaten von Domänen-Administratoren. Mit solchen Berechtigungen lassen sich in vielen Unternehmensnetzwerken weitreichende Zugriffe durchführen. Um ihre Aktivitäten zusätzlich zu verschleiern, ahmte die technische Infrastruktur der Hacker legitime Sicherheitsdienste nach.
Dadurch sollte verhindert werden, dass automatische Schutzsysteme oder IT-Mitarbeiter die Kommunikation als verdächtig einstufen. Die Erkenntnisse von Bitdefender zeigen, wie stark geopolitische Interessen inzwischen mit Cyberangriffen verknüpft sind. Unternehmen aus Bereichen wie Energie, Infrastruktur und Versorgung geraten zunehmend in den Fokus professioneller Gruppen, die über erhebliche technische Fähigkeiten verfügen. Für Europa ist das Thema besonders relevant, weil die Sicherheit von Energieversorgern auf dem Spiel steht.
