Grooza-Gang, Router

Grooza-Gang kaperte 19.000 Router für Europa-weites SMS-Phishing

01.10.2025 - 23:07:02

Eine internationale Cyberbande nutzt seit 2022 Sicherheitslücken in Milesight-Routern für massenhaft gefälschte SMS. Über 19.000 Geräte wurden europaweit kompromittiert, um Behörden und Banken zu imitieren.

Eine internationale Cyberkriminellen-Bande nutzt seit Februar 2022 Sicherheitslücken in Industrieroutern, um millionenfach gefälschte SMS zu versenden. Die „Grooza“-Gruppe hat europaweit über 19.000 Geräte kompromittiert und imitiert Behörden, Banken und Postdienste.

Über zwei Jahre lang konnten die Angreifer unentdeckt agieren. Ihr Trick: Sie missbrauchen die reguläre SMS-Funktion von Milesight-Industrieroutern, mit der Administratoren normalerweise Systemwarnungen verschicken. Das französische Cybersicherheits-Unternehmen Sekoia deckte die Kampagne auf, nachdem ihre Überwachungssysteme im Juli verdächtige Aktivitäten registrierten.

Schwachstelle macht Router zu Spam-Schleudern

Das Herzstück der Attacke liegt in mangelhaft gesicherten Programmierschnittstellen. Eine Analyse mit der Suchmaschine Shodan offenbarte ein erschreckendes Bild: Von über 19.000 online erreichbaren Milesight-Routern sind mindestens 572 völlig ungeschützt. Ihre SMS-Funktionen lassen sich ohne jede Anmeldung fernsteuern.

Besonders perfide nutzen die Kriminellen die Schwachstelle CVE-2023-43261 aus. Diese ermöglicht es, Systemprotokolle auszulesen und verschlüsselte Administrator-Passwörter zu knacken. Doch die Angreifer zeigen erstaunliche Disziplin: Sie installieren keine dauerhaften Hintertüren, sondern konzentrieren sich ausschließlich auf den SMS-Versand.

Schweden, Italien und Belgien im Visier

Die geografische Verteilung der Angriffe zeigt klare Muster. Hauptziele sind Schweden, Italien und Belgien, aber auch Frankreich, Singapur, Norwegen, Portugal und Ungarn werden attackiert. Die Betrüger haben ihre Hausaufgaben gemacht: Jedes Land erhält maßgeschneiderte Köder.

In Belgien imitieren sie Regierungsplattformen wie CSAM und eBox. Französische Empfänger erhalten gefälschte Nachrichten der Krankenversicherung Ameli, der Post La Poste oder der Credit Agricole. Schweden und Italien werden mit falschen Telia-Nachrichten und Banking-Betrug bombardiert.

Besonders bemerkenswert: Einige Landingpages leiten Besucherverbindungen an einen Telegram-Bot namens „GroozaBot“ weiter. Der Betreiber scheint sowohl Arabisch als auch Französisch zu beherrschen – ein Hinweis auf die internationale Vernetzung der Gruppe.

Anzeige: Phishing-SMS wie in dieser Kampagne landen am Ende auf Ihrem Smartphone. Viele Android-Nutzer übersehen genau die 5 Einstellungen, die WhatsApp, Banking & Co. wirkungsvoll absichern. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps gegen Datendiebe härten – inklusive Checklisten und Update-Tipps. Jetzt das kostenlose Sicherheitspaket anfordern

Dezentrale Infrastruktur erschwert Abwehr

Was macht diese Kampagne so gefährlich? Die Angreifer nutzen Hunderte Router in verschiedenen Ländern als verteiltes Netzwerk. Diese Dezentralisierung macht Ermittlungen und Abschaltungen extrem schwierig. Statt eigene Server aufzubauen, kapern sie bestehende, legitime Infrastruktur.

Das Vorgehen folgt einem klaren Muster: Zunächst testen die Kriminellen, ob ein Router SMS versenden kann. Erst dann wird er ins Netzwerk eingegliedert. Diese Professionalität erklärt die lange Lebensdauer der Kampagne.

IoT-Geräte als neue Einfallstore

Der Fall verdeutlicht einen beunruhigenden Trend: Internet-of-Things-Geräte werden zur bevorzugten Angriffsfläche. Industrierouter laufen oft mit veralteter Firmware, werden selten überwacht und gelten als weniger sicherheitskritisch als herkömmliche Computersysteme.

Die Ironie dabei: Die Angreifer missbrauchen eine völlig legitime Funktion der Geräte. SMS-Warnungen sind ein wichtiges Feature für Industrieanlagen. Doch ohne entsprechende Sicherheitsmaßnahmen wird daraus eine Waffe.

Sofortmaßnahmen für Router-Betreiber

Administratoren von Milesight-Routern sollten umgehend handeln. Die Firmware muss auf den neuesten Stand gebracht werden, um CVE-2023-43261 und andere Schwachstellen zu schließen. Kritisch: Management-APIs dürfen niemals ungeschützt im Internet erreichbar sein.

Falls Fernzugriff notwendig ist, müssen starke Passwörter und Netzwerk-Zugriffskontrollen implementiert werden. Für Verbraucher gilt die alte Regel: Misstrauen bei unaufgeforderten SMS, besonders bei Zeitdruck erzeugenden Nachrichten. Links niemals anklicken – stattdessen den angeblichen Absender über offizielle Kanäle kontaktieren.

Anzeige: Für alle, die SMS-Betrug künftig schneller erkennen und abwehren wollen: Dieser kostenlose Leitfaden bündelt die 5 wichtigsten Schutzmaßnahmen für Android – von sicheren Einstellungen bis zu automatischen Prüfungen. Einfach erklärt, sofort umsetzbar, ideal für WhatsApp, Online-Shopping, PayPal und Online-Banking. Kostenloses Android-Sicherheitspaket sichern

Die Grooza-Kampagne zeigt: Cyberkriminalität wird immer raffinierter und geduldiger. Über zwei Jahre unentdeckt zu bleiben, erfordert Planung und Professionalität. Andere Banden dürften diese Methoden kopieren – die Jagd auf schlecht gesicherte IoT-Geräte hat gerade erst begonnen.

@ boerse-global.de