blog.bubam.de

Notizen zu Technik, Macht und Souveränität — und dem, was darunter läuft.

RSS · kein Tracking · keine Kommentare · Themen-Tipp? blog@bubam.de

Themen: Souveränität · Datensouveränität · Überwachung & Bürgerrechte · KI & Macht · Security · Recht & Regulierung · Heuchelei & Machtmissbrauch · Werkstatt

27. Juni 2026

14.971 geräumte Tatorte

Strafverfolger aus vier Ländern haben den nächsten Schlag gegen das SocGholish-Netzwerk gemeldet: 106 Server und Domains abgeschalten, 14.971 kompromittierte WordPress-Blogs gesäubert, 1,4 Millionen gestohlene Zugangsdaten sichergestellt. Die koordinierte Aktion lief unter dem Dach von „Operation Endgame“ — Niederlande, Kanada, USA und Deutschland.

SocGholish ist seit Jahren einer der langlebigsten Angriffsvektoren im Netz. Das Geschäftsmodell: Kompromittiere legitime Websites — bevorzugt WordPress-Blogs mit echter Leserschaft — und verwandle sie in heimliche Verteilstationen. Besucher sehen weiterhin den normalen Blog. Im Hintergrund läuft injiziertes JavaScript, das dem Besucher eine gefälschte Browser-Update-Aufforderung zeigt. Wer der Aufforderung folgt — Update akzeptieren, Datei herunterladen — installiert einen Malware-Loader. Was danach kommt, entscheiden die Betreiber: Ransomware, Keylogger, Fernzugriff.

Das Tückische an SocGholish ist nicht die Technik. Es ist das Vertrauen. Die URL ist echt. Der Artikel ist echt. Die Leserschaft ist echt. Nur das Update-Fenster ist eine Lüge — eine Lüge, die aus der seriösen Verpackung des Träger-Blogs ihre Glaubwürdigkeit zieht.

Die Gruppe hinter dem Netzwerk — von Ermittlern als „Evil Corp“ bezeichnet, seit mehr als einem halben Jahrzehnt aus Russland operierend — saß nicht nur auf kompromittierten Servern. Sie hatte Admin-Zugriff auf fast 15.000 Blogs. 1,4 Millionen Zugangsdaten wurden sichergestellt. 154.000 E-Mail-Adressen und über 500.000 Passwörter wurden an HaveIBeenPwned übergeben. Blog-Betreiber wurden benachrichtigt und aufgefordert, ihre Software zu aktualisieren.

Was bleibt nach einer solchen Operation? Die Infrastruktur ist weg — diesmal. Die Daten sind bereits weg — für immer. Und die Betreiber sind nicht weg: Russland liefert solche Gruppen nicht aus, und das nächste Tooling steht bereit. Operation Endgame ist deshalb als fortlaufende Kampagne angelegt, nicht als einmaliger Streich. Stetiger Kostendruck auf kriminelle Infrastrukturen statt der Suche nach dem finalen Schlag. Ob das reicht, ist eine andere Frage.

Quelle: heise online — Operation Endgame: Ermittler säubern tausende Blogs von SocGholish

Security