Cloudflare Threat Report 2026

Der Mechanismus hinter dieser Verschiebung ist das, was die Bedrohungsaufklärungseinheit von Cloudflare, Cloudforce One, als Maß für die Wirksamkeit oder MOE bezeichnet. Anstatt Gefahr anhand der technischen Komplexität eines Malware-Stücks oder der Zero-Day-Neuheit eines Exploits zu messen, bewertet MOE das Verhältnis von Angreiferaufwand zu operativem Ergebnis. Unter diesem Rahmen erzielt ein kostengünstiges generatives KI-Abonnement, das die Erfassung von Anmeldeinformationen über Tausende von Zielen hinweg automatisiert, eine höhere Punktzahl als ein benutzerdefinierter Exploit, der monatelange Entwicklung erfordert. Der Schwerpunkt hat sich von technischer Eleganz auf industrielle Geschwindigkeit verlagert.

Die SaaS-Lieferkette als Angriffsfläche

Eine der deutlichsten Zeichen dieser Verschiebung ist die von Cloudforce One dokumentierte GRUB1-Kampagne. Ein einziger Kompromiss einer vertrauenswürdigen SaaS-Integration – in diesem Fall die Verbindung zwischen Salesloft Drift und Salesforce – wirkte sich kaskadenartig auf ganze Ökosysteme aus und legte gleichzeitig Hunderte von Unternehmens-Tenants offen. Die Hacker nutzten automatisierte Tools zur geheimen Überprüfung, wie TruffleHog, um in Code-Repositories eingebettete Anmeldeinformationen zu sammeln, setzte dann in Echtzeit ein großes Sprachmodell ein, um sich in unbekannten Unternehmensumgebungen zurechtzufinden und die wertvollsten Datenbanktabellen zu lokalisieren, bevor er sich unbefugten Zugriff auf Produktionssysteme verschaffte.

Die Implikation ist bedeutsam: Die GRUB1-Kampagne wurde nicht von einem hochentwickelten staatlichen Akteur durchgeführt. Es zeigt, dass die industrialisierte Qualifikationsfindung in Kombination mit KI-gestützter Navigation hochwirksame Verstöße für vergleichsweise wenig versierte Personen zugänglich gemacht hat. Die Sicherheit der Daten einer Organisation ist in diesem Umfeld nur so stark wie die am stärksten überprivilegierte Integration in ihrem Technologie-Stack.

Dasselbe Muster erstreckt sich auf die Cloud-Infrastruktur im Allgemeinen. Bedrohungsakteure über das gesamte Spektrum hinweg – kriminelle, staatlich geförderte und ideologisch motivierte – vermischen ihre Operationen nun routinemäßig mit dem riesigen Volumen legitimen Datenverkehrs, der über öffentliche Cloud-Hyperscaler wie AWS und Google Cloud fließt. Anstatt dedizierte Kommando- und Kontrollinfrastruktur aufzubauen, nutzen sie bestehende Umgebungen mit gestohlenen Anmeldeinformationen oder Scheinfirmen, eine Taktik, die Cloudforce One als Living off the XaaS, oder LotX, bezeichnet.

Identität unter Belagerung

Der Zusammenbruch der traditionellen Netzwerkperimeter hat Identität zum Hauptziel gemacht. Die Multi-Faktor-Authentifizierung, die lange als zuverlässige Absicherung galt, wird systematisch umgangen, nicht durch Einbruch in das Authentifizierungssystem selbst, sondern durch Diebstahl der daraus resultierenden Sitzungstoken. Mithilfe von Infostealer-Malware wie LummaC2 erbeuten Angreifer Live-Session-Token, um bereits authentifizierte Zustände zu erfassen, wodurch ein ehemals komplexer Einbruch in ein Ereignis umgewandelt wird, das der Bericht als einfaches Login-Ereignis beschreibt. Die Ransomware-Bereitstellung erfordert unter diesem Modell keinen technischen Einbruch mehr – nur gültige Anmeldeinformationen.

Ein verwandter Angriffsvektor nutzt Lücken in der E-Mail-Authentifizierungsinfrastruktur aus. Phishing-as-a-Service-Plattformen haben eine Schwachstelle identifiziert, bei der E-Mail-Server die Identität eines Absenders nicht erneut überprüfen, nachdem eine Nachricht ein Gateway von Drittanbietern durchlaufen hat. Da der Verkehr von einem vertrauenswürdigen Relay kommt, behandelt das empfangende System gefälschte externe Nachrichten fälschlicherweise als interne Kommunikation. Das Ergebnis ist, dass Markenimitationen mit hohem Vertrauensniveau die Posteingänge der Nutzer erreichen, ohne Standardfilter auszulösen.

Staatliche Akteure und strategische Vorpositionierung

Über das kriminelle Ökosystem hinaus dokumentiert der Bericht eine reifende Konvergenz zwischen Cyberoperationen und geopolitischen Zielen unter vier staatlichen Hauptakteuren: Russland, China, Nordkorea und Iran. Jedes hat unterschiedliche operative Profile entwickelt, aber ein gemeinsamer Faden zieht sich durch alle: Cyberfähigkeiten werden nun als fester Bestandteil staatlicher Macht behandelt, nicht als ergänzendes Werkzeug.

Chinas Strategie hat sich über die reine Datenerfassung hinaus zu dem entwickelt, was der Bericht als Infrastruktur-Vorpositionierung bezeichnet. Gruppen, die chinesischen Staatsinteressen zugeschrieben werden, darunter Salt Typhoon und Linen Typhoon, haben nordamerikanische Telekommunikationsbetreiber, Regierungsnetzwerke und IT-Dienstleister auf eine Weise angegriffen, die auf eine Vorbereitung auf zukünftige Störungen hindeutet und nicht auf eine sofortige Informationsbeschaffung.

Der Einbruch bei AT&T, Verizon und Lumen sowie die im Juli 2025 dokumentierte Kompromittierung der Microsoft SharePoint-Infrastruktur veranschaulichen die Tiefe des Zugangs, der hergestellt wird. Eine Gruppe, FrumpyToad genannt, leitete ihren Befehls- und Kontrollverkehr vollständig über Google Kalender Ereignisbeschreibungen – eine Methode, die die gesamte Kommunikation innerhalb verschlüsselter Unternehmensökosysteme hält und keine Verbindungen zu identifizierbar bösartigen Domänen herstellt.

Russische Operationen behalten ihre charakteristische hohe Frequenz und breite Zielausrichtung bei. Gruppen, die unter Bezeichnungen wie NastyShrew – besser bekannt als Gamaredon – verfolgt werden, erhalten dauerhaften Zugriff auf Tausende ukrainische Endpunkte, indem sie die Befehls- und Kontrollinfrastruktur innerhalb von Minuten über Paste-Sites und geofenced Server rotieren. Eine Gruppe namens RottenShrew hat sich speziell auf die Geolokalisierung ukrainischen Militärpersonals konzentriert und dabei legitime militärische Anwendungen wie das Kropyva-Artillerieführungssystem und den digitalen Regierungsdienst Diia nachgeahmt, um Anmeldeinformationen und Gerätemetadaten zu sammeln. Der Bericht stellt zeitliche Korrelationen zwischen diesen Aufklärungsoperationen und nachfolgenden kinetischen Militäraktionen fest.

Nordkoreas Ansatz ist in menschlicher Hinsicht der am weitesten industrialisierte. Staatlich geförderte Agenten infiltrieren westliche Organisationen, indem sie mithilfe generativer KI und Deepfake-Technologie gefälschte Identitäten erstellen, Videointerviews für Remote-Positionen bestehen und dann Gehälter an das Regime zurückleiten. Diese Arbeiter erhalten die Illusion des Wohnsitzes im Inland durch in den USA ansässige Laptop-Farmen und Fernverwaltungssoftware aufrecht. Erkennungshinweise sind aufgetaucht – Warnungen vor unmöglichen Reisen, Software zum Bewegen der Maus, spezifische Videometadatenartefakte, die mit Echtzeit-Deepfake-Rendering übereinstimmen –, aber ihre Verbreitung in Unternehmensumgebungen ist nach wie vor begrenzt.

DDoS Rekord

Auf der Vermittlungsschicht hat die Größenordnung verteilter Denial-of-Service-Angriffe eine neue Schwelle erreicht. Botnetze, darunter Aisuru, haben Angriffe mit einer Spitze von 31,4 Terabit pro Sekunde durchgeführt – ein Volumen, das die Infrastrukturkapazität der meisten Organisationen physisch erschöpft. Diese Angriffe erreichen ihren Höhepunkt und enden größtenteils innerhalb von zehn Minuten, eine Dauer, die so bemessen ist, dass das Fenster für menschliches Eingreifen geschlossen wird, während gleichzeitig die den Verteidigern auferlegten Ressourcenkosten maximiert werden.

Die defensive Berechnung

Das operative Bild deutet auf eine grundlegende Diskrepanz zwischen der Geschwindigkeit, mit der sich Bedrohungen bewegen, und der Geschwindigkeit, mit der die meisten Organisationen reagieren können. Die Empfehlungen von Cloudforce One spiegeln dies wider: Der Bericht fordert den Ersatz periodischer Sicherheitsbewertungen durch kontinuierliches, automatisiertes Scannen von SaaS-zu-SaaS-Integrationen; die Einführung von Zero-Trust-Architekturen, die den Zugriff mit minimalen Rechten unabhängig vom Netzwerkstandort durchsetzen; und die Implementierung von KI-gestützter E-Mail-Sicherheit, die polymorphe Phishing-Taktiken in Echtzeit interpretieren kann.

Für Organisationen, die auf Remote-Arbeit setzen, plädiert der Bericht für einen Wandel hin zu Zero-Trust-Biometrie-Verifizierung und strengem Geofencing aller Remote-Management-Tools – Maßnahmen, die sich speziell auf das nordkoreanische Insider-Bedrohungsmodell richten. Gegen hypervolumetrische DDoS-Angriffe erfordert die empfohlene Vorgehensweise ein automatisiertes Traffic-Scrubbing, das innerhalb von Sekunden anstatt Minuten aktiviert wird, sowie Netzwerkarchitekturen, die die nachgelagerte Infrastruktur isolieren, um den Auswirkungsbereich jedes einzelnen Vorfalls einzudämmen.

Der rote Faden durch all diese Empfehlungen ist, dass menschliche Reaktionszeiten nicht mehr ausreichen. Die Bedrohungslandschaft im Jahr 2026, wie die Daten von Cloudflare sie beschreiben, ist eine, in der die Angriffe mit Maschinengeschwindigkeit erfolgen – und die Verteidigung muss dies ebenfalls tun.

The mechanism behind this shift is what Cloudflare’s threat intelligence unit, Cloudforce One, terms the Measure of Effectiveness, or MOE. Rather than measuring danger by the technical complexity of a piece of malware or the zero-day novelty of an exploit, MOE evaluates the ratio of attacker effort to operational outcome. Under this framework, a low-cost generative AI subscription that automates credential harvesting across thousands of targets scores higher than a custom exploit requiring months of development. The emphasis has moved from technical elegance to industrial velocity.

The SaaS Supply Chain as Attack Surface

One of the clearest illustrations of this shift is the GRUB1 campaign documented by Cloudforce One. A single compromise of a trusted SaaS integration — in this case the connection between Salesloft Drift and Salesforce — cascaded through entire ecosystems, exposing hundreds of corporate tenants simultaneously. The actor used automated secret-scanning tools such as TruffleHog to harvest credentials buried in code repositories, then deployed a large language model in real time to navigate unfamiliar enterprise environments and locate the most valuable database tables before gaining unauthorized access to production systems.

The implication is significant: the GRUB1 campaign was not conducted by a sophisticated state actor. It demonstrates that industrialized credential discovery combined with AI-assisted navigation has made high-impact breaches accessible to comparatively unsophisticated individuals. The security of an organization’s data is, in this environment, only as strong as the most over-privileged integration in its technology stack.

The same pattern extends to cloud infrastructure more broadly. Threat actors across the spectrum — criminal, state-sponsored, and ideologically motivated — now routinely blend their operations into the massive volume of legitimate traffic flowing through public cloud hyperscalers including AWS and Google Cloud. Rather than building dedicated command-and-control infrastructure, they inhabit existing environments using stolen credentials or shell companies, a tactic Cloudforce One labels Living off the XaaS, or LotX.

Identity Under Siege

The collapse of the traditional network perimeter has made identity the primary target. Multi-factor authentication, long treated as a reliable backstop, is being systematically bypassed not by breaking into the authentication system itself but by stealing the session tokens that emerge from it. Using infostealer malware such as LummaC2, attackers harvest live session tokens to capture already-authenticated states, converting what was once a complex intrusion into what the report describes as a simple login event. Ransomware deployment, under this model, no longer requires a technical breach — it requires only valid credentials.

A related attack vector exploits gaps in email authentication infrastructure. Phishing-as-a-service platforms have identified a blind spot in which mail servers fail to re-verify a sender’s identity after a message passes through a third-party gateway. Because traffic arrives from a trusted relay, the receiving system incorrectly treats spoofed external messages as internal communications. The result is that high-trust brand impersonations reach user inboxes without triggering standard filters.

State Actors and Strategic Pre-Positioning

Beyond the criminal ecosystem, the report documents a maturing convergence between cyber operations and geopolitical objectives among four primary state actors: Russia, China, North Korea, and Iran. Each has developed distinct operational profiles, but a common thread runs through all of them — cyber capabilities are now treated as a permanent component of state power, not a supplementary tool.

China’s strategy has evolved beyond bulk data collection toward what the report characterizes as infrastructure pre-positioning. Groups attributed to Chinese state interests, including Salt Typhoon and Linen Typhoon, have targeted North American telecommunications operators, government networks, and IT service providers in ways that suggest preparation for future disruption rather than immediate intelligence collection. The breach of AT&T, Verizon, and Lumen, along with a compromise of Microsoft SharePoint infrastructure documented in July 2025, illustrate the depth of access being established. One group, designated FrumpyToad, routed its command-and-control traffic entirely through Google Calendar event descriptions — a method that keeps all communications within encrypted enterprise ecosystems and produces no connections to identifiably malicious domains.

Russian operations retain their characteristic high frequency and broad targeting. Groups tracked under designations including NastyShrew — more widely known as Gamaredon — maintain persistent access to thousands of Ukrainian endpoints, rotating command-and-control infrastructure in minutes through paste sites and geofenced servers. A group designated RottenShrew has focused specifically on geolocating Ukrainian military personnel, mimicking legitimate military applications including the Kropyva artillery guidance system and the Diia digital government service to harvest credentials and device metadata. The report notes temporal correlations between these reconnaissance operations and subsequent kinetic military actions.

North Korea’s approach is the most industrialized in human terms. State-sponsored operatives infiltrate Western organizations by constructing fraudulent identities using generative AI and deepfake technology, passing video interviews for remote positions and then funneling salaries back to the regime. These workers maintain the illusion of domestic residency through US-based laptop farms and remote management software. Detection indicators have emerged — impossible travel alerts, mouse-jiggling software, specific video metadata artifacts consistent with real-time deepfake rendering — but their prevalence in enterprise environments remains limited.

DDoS at Record Scale

At the network layer, the scale of distributed denial-of-service attacks has reached a new threshold. Botnets including Aisuru have produced attacks peaking at 31.4 terabits per second — a volume that physically exhausts most organizations‘ infrastructure capacity. These strikes peak and largely conclude within ten minutes, a duration calibrated to close the window for human intervention while maximizing the resource cost imposed on defenders.

The Defensive Calculation

The operational picture the report assembles points toward a fundamental mismatch between the speed at which threats move and the speed at which most organizations can respond. Cloudforce One’s recommendations reflect this: the report calls for replacing periodic security assessments with continuous, automated scanning of SaaS-to-SaaS integrations; adopting zero-trust architectures that enforce least-privilege access independent of network location; and implementing AI-first email security capable of interpreting polymorphic phishing tactics in real time.

For organizations managing remote workforces, the report advocates a shift toward zero-trust biometric verification and strict geofencing of all remote management tools — measures targeted specifically at the North Korean insider threat model. Against hyper-volumetric DDoS attacks, the recommended posture requires automated traffic scrubbing that activates in seconds rather than minutes, and network architectures that isolate subsidiary infrastructure to contain the blast radius of any single incident.

The common thread across all these recommendations is that human-speed response is no longer adequate. The 2026 threat landscape, as Cloudflare’s data describes it, is one in which offense operates at machine speed — and defense must do the same.