Wenn ein deutscher Staatsbürger in Deutschland mit einem Staatstrojaner gehackt werden soll, ist das ein Fall für die Staatsanwaltschaft. Davon geht jedenfalls die Gesellschaft für Freiheitsrechte aus. Die GFF hat heute gemeinsam mit dem deutsch-vietnamesischen Journalisten Trung Khoa Lê Strafanzeige gestellt.

Der Journalist recherchiert und publiziert auf seiner Plattform Thời Báo („Die Zeit“) seit Jahren über die Politik, Wirtschaft und Gesellschaft Vietnams. Seine Artikel und Videos finden bei der vietnamesischen Regierung keinen Gefallen.

Vietnam ist beinahe Schlusslicht der Rangliste der Pressefreiheit. Das Land zensiert und überwacht Medien großflächig. Doch Trung Khoa Lê veröffentlicht von Deutschland aus investigative Recherchen und Regierungspapiere.

Polizeischutz und Staatstrojaner

Wegen seiner Arbeit bekommt er Morddrohungen und Polizeischutz. Und er wird angegriffen. Bisher unbekannte Täter haben versucht, ihm einen Staatstrojaner aufzuspielen.

Vor zwei Jahren berichtete Trung Khoa Lê über korrupte Generäle im vietnamesischen Verteidigungsministerium. Den Artikel postete Thoibao auch auf seinem Twitter-Account.

Auf diesen Tweet antwortete ein Account namens @Joseph_Gordon16 und postete einen Link, offenbar in der Hoffnung, dass Trung Khoa Lê draufklicken würde. Hätte er geklickt, hätte ein Exploit sein Gerät heimlich kompromittiert und die Schadsoftware Predator installiert.

Gegen diesen Hacking-Versuch wehrt sich der Journalist jetzt. Lê Trung Khoa sagt: „Seit zweieinhalb Jahren ist bekannt, dass ich mit Spyware attackiert wurde. Bisher hat niemand auch nur ermittelt – oder gar die Täter*innen zur Rechenschaft gezogen. Deswegen habe ich nun Strafanzeige erstattet.“

Auch Deutsche beteiligt

Neben dem Berliner Trung Khoa Lê wurden auch andere Journalisten, aber auch Menschen aus Wissenschaft und Forschung, US-Senatoren, Diplomaten, EU-Beamte oder UN-Mitarbeiter mit Predator angegriffen.

Der Staatstrojaner Predator wird vom undurchsichtigen Firmenverbund Intellexa angeboten und vertrieben. Laut Spiegel verdienen auch Deutsche an dieser Überwachung. Laut portugiesischen Medien ist auch ein ehemaliger FinFisher-Manager involviert.

Deswegen ist der Fall von Trung Khoa Lê ein hausgemachtes Problem Europas: Die Schadsoftware eines europäischen Anbieters sollte einen Deutschen gezielt ausspionieren, wohl über den Umweg Vietnam.

Staat soll Täter finden

Der Journalist und die GFF möchten nun mit der Strafanzeige erreichen, „dass die Staatsanwaltschaft und Polizei in Berlin den Angriff aufklären und die Täter*innen ermitteln“. In der Pressemitteilung schreibt die GFF:

Wäre der Angriff gelungen, hätten die Täter*innen auf die gesamte Kommunikation sowie alle dort gespeicherten Daten zugreifen können. Ein solcher Angriff stellt einen massiven Eingriff in die Privatsphäre der Betroffenen dar.

Außerdem sei das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Geräte (das sogenannte IT-Grundrecht) und auch das Fernmeldegeheimnis sowie im konkreten Fall zudem der Quellenschutz verletzt. Die GFF mahnt:

Der Staat ist verpflichtet, seine Bürger*innen vor solchen Angriffen zu schützen.

Die Staatsanwälte können bei der Zentralen Stelle für Informationstechnik im Sicherheitsbereich nachfragen. Die Hacker-Behörde ZITiS ist laut Spiegel „bereits seit 2019 Intellexa-Kunde“. Die GFF empfiehlt daher ein Amtshilfeersuchen.

Im LiteSpeed-Plugin für cPanel klafft eine Sicherheitslücke, die der Hersteller als kritisch einstuft. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt, dass Angriffe darauf beobachtet wurden. Aktualisierte Software steht bereit.

Die CISA nennt in ihrer Warnung lediglich die attackierte Schwachstelle. Details zu Art und Umfang der Angriffe verrät die Behörde jedoch nicht. Ein eigener Blogbeitrag von LiteSpeed liefert mehr Informationen. Darin stuft das Unternehmen das Update auf Version 2.4.7 oder neuer als dringend ein; seit Version 2.4.5 des Plugins ist das Leck gestopft. Es bessert eine Schwachstelle aus, die das End-User-Plugin für cPanel betrifft. Es handelt sich um ein Leck, das Angreifern das Ausweiten der Rechte ermöglicht. Jeder cPanel-User kann den Fehler in der Funktion lsws.redisAble missbrauchen, um beliebigen Code als root auszuführen (CVE-2026-48172, CVSS 9.8, Risiko „kritisch“). Die Lücke wird demnach in freier Wildbahn bereits angegriffen, verwundbar sind die Versionen 2.3 bis 2.4.4 des Plugins für cPanel.

Prüfung auf erfolgreiche Angriffe

LiteSpeed liefert auch einen Befehl mit, mit dem Admins prüfen können, ob der eigene Server betroffen ist:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Kommt kein Ergebnis zurück, wurde der Server nicht angegriffen. Sofern jedoch Ausgaben erscheinen, sollten IT-Verantwortliche prüfen, ob die IPs zulässig sind und sie gegebenenfalls blockieren. Außerdem sollten in dem Fall die Systemprotokolle untersucht werden, ob die Angreifer Veränderungen vorgenommen haben. Das hilft natürlich nur in den Fällen, in denen Angreifer ihre Spuren nicht verwischt und etwa die Logs bereinigt haben.

cPanel-Admins haben im Mai bereits mehrmals Software-Updates installieren müssen. Vor rund zwei Wochen haben Sicherheitspatches etwa Codeschmuggel-Lücken in der Webserver- und Verwaltungssoftware cPanel und WebHost Manager (WHM) geschlossen.

(dmk)

Ermittler sind im Auftrag der bei der Staatsanwaltschaft Köln angesiedelten Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) bundesweit gegen mutmaßliche Akteure eines kriminellen Netzwerks vorgegangen, bei dem mittels Darknet internationaler Drogenhandel und Geldwäsche über Nagelstudios betrieben wurde. Wie die Behörden mitteilten, durchsuchten mehr als 400 Einsatzkräfte in Nordrhein-Westfalen und Hessen insgesamt 40 Objekte. Acht Personen wurden festgenommen.

An den Maßnahmen beteiligt waren neben dem Bundeskriminalamt (BKA) auch der Zoll sowie das Landesamt zur Bekämpfung der Finanzkriminalität Nordrhein-Westfalen (LBF NRW). Unterstützt wurden sie von der Bundespolizei sowie den Landespolizeien Hessen und Nordrhein-Westfalen.

Die Ermittlungen beziehen sich laut Staatsanwaltschaft nicht auf einen einzelnen Darknet-Marktplatz, sondern auf zahlreiche Plattformen. Auf Nachfrage von heise online nannte die Staatsanwaltschaft Köln dabei auch mehrere bereits aus früheren Ermittlungen und internationalen Strafverfolgungsmaßnahmen bekannte Plattformen wie Nemesis, Kingdom Market, AlphaBay, Archetyp, Incognito, Bohemia, ASAP, Tor2Door, White House Market und Empire Market. Manche davon waren schon früher beschlagnahmt, wurden dann aber wieder aktiv.

Nach Angaben der Ermittler sollen mehrere Beschuldigte seit mindestens Juli 2020 unter verschiedenen Namen weltweit Betäubungsmittel über Darknet-Marktplätze vertrieben haben. Die Gruppe soll unter anderem mit Amphetamin, Ecstasy, Cannabis, Haschisch, Kokain sowie Benzodiazepinen gehandelt und die Drogen per Post verschickt haben. Drei der identifizierten mutmaßlichen Gruppenmitglieder wurden festgenommen.

Bei den Durchsuchungen stellten die Ermittler Bargeld in mindestens fünfstelliger Höhe, Kryptovermögen, mehrere Kilogramm Betäubungsmittel sowie zwei Schusswaffen sicher. Die Auswertung der beschlagnahmten Datenträger und der über die Plattformen abgewickelten Verkäufe dauert an.

Den Ermittlungen zufolge sollen die Verdächtigen mit dem Drogenhandel mehrere Millionen Euro in Kryptogeld erwirtschaftet haben. Zwei weitere Beschuldigte sollen anschließend als eine Art Crime-as-a-Service-Dienstleister die Umwandlung in Bargeld organisiert haben. Einer von ihnen wurde ebenfalls festgenommen.

Internationales Underground-Banking-Netzwerk

Das Vermögen wurde nach bisherigen Erkenntnissen an ein „internationales Underground-Banking-Netzwerk“ weitergeleitet. Dieses soll Bargeldtransfers zwischen Deutschland und Vietnam organisiert haben. In diesem Zusammenhang ermitteln die Behörden gegen neun vietnamesische Staatsangehörige. Vier von ihnen wurden am Mittwoch festgenommen. Ihnen wird unter anderem die Bildung einer kriminellen Vereinigung zur unerlaubten Erbringung von Finanztransaktionsgeschäften vorgeworfen.

„Das Bargeld stammt von vietnamesischen Staatsangehörigen, die in Deutschland Nagelstudios oder Restaurants betreiben oder in diesen illegal arbeiten“, heißt es in der Pressemitteilung. Seit November 2025 seien nachweislich mehr als sieben Millionen Euro Bargeld eingesammelt worden. Über Krypto-Wallets des Hauptbeschuldigten sollen zwischen November 2025 und Mai 2026 zudem Transaktionen von mehr als 100 Millionen Euro geflossen sein.

(mack)