CrowdStrike 2025 Global Threat Report

Diese neue Art von Bedrohungsakteuren zeichnet sich durch ausgefeilte und skalierbare Taktiken aus. Damit führen sie Angriffe mit kalkulierter, geschäftsmäßiger Effizienz aus. Mit strategischer Präzision agieren diese Gegner, um die Wirkung zu maximieren und ihre Ziele schnell zu erreichen.

Innovation ist ein entscheidender Eckpfeiler, um den findigen Gegner zu überlisten und zu stören. Neuartige Technologien und die Jagd nach Bedrohungen sind erforderlich, um die nächsten Schritte des Gegners vorherzusehen, seine sich entwickelnden Methoden zu verstehen und die Abwehr anzupassen, um immer einen Schritt voraus zu sein.

Der heutige, findige Gegner ist versiert darin, traditionelle Cybersicherheitsverteidigungen zu umgehen. Sie verstehen die Grenzen herkömmlicher Sicherheitsvorkehrungen und versuchen, Sicherheitslücken und Schwachstellen auszunutzen, die etablierte Systeme und Prozesse oft übersehen. Dies beinhaltet die Ausnutzung menschlicher Faktoren durch ausgefeilte Social-Engineering-Techniken – die heutzutage oft durch KI verstärkt werden – und die Verlagerung auf ungeschützte Geräte, die oft erhebliche Schwachstellen in der Sicherheitsstrategie eines Unternehmens darstellen. Indem sie Geräte außerhalb des direkten Zuständigkeitsbereichs von IT-Abteilungen ins Visier nehmen, können sie sich festsetzen, Daten extrahieren oder weitere Angriffe starten, ohne sofort entdeckt zu werden.

Das CrowdStrike Counter Adversary Operations umfasst zwei eng miteinander integrierte Teams. Das CrowdStrike Intelligence-Team liefert verwertbare Berichte, die neue Gegner identifizieren, ihre Aktivitäten überwachen und neue Entwicklungen im Bereich der Cyberbedrohungen in Echtzeit erfassen. Das CrowdStrike OverWatch-Team nutzt diese Informationen, um proaktiv in den Telemetriedaten der Kunden nach Bedrohungen zu suchen, um böswillige Aktivitäten zu erkennen und zu bekämpfen. Gemeinsam schützen diese Teams Tausende von Kunden vor den raffiniertesten Angreifern, indem sie die Informationen, Fähigkeiten zur Bedrohungsanalyse und Ressourcen bereitstellen, die den meisten Unternehmen fehlen.

Findige Gegner nutzen generative KI (GenAI), um ihre Operationen zu verbessern, was die dringende Notwendigkeit innovativer Verteidigungsstrategien unterstreicht. Die Integration von GenAI in Insider-Bedrohungsoperationen durch den mit der Demokratischen Volksrepublik Korea (DPRK) verbundenen Akteur FAMOUS CHOLLIMA hat diesen schnell zum versiertesten Akteur im Bereich GenAI gemacht. BERÜHMTE CHOLLIMA
IT-Mitarbeiter nutzen GenAI, um ansprechende Lebensläufe für Unternehmen zu erstellen, verwenden Berichten zufolge Echtzeit-Deepfake-Technologie, um ihre wahren Identitäten in Videointerviews zu verschleiern, und nutzen KI-Code-Tools, um sie bei ihren Aufgaben zu unterstützen, was alles eine erhebliche Herausforderung für traditionelle Sicherheitsverteidigungen darstellt.

Gegner versuchen fortwährend, unentdeckt zu bleiben, indem sie in unkontrollierte Netzwerke wechseln und ihre Reichweite ausdehnen. Die domänenübergreifende Bedrohungssuche ist von entscheidender Bedeutung, da Angreifer zunehmend über mehrere Domänen hinweg agieren – wie z. B. Identität, Endpunkt und Cloud –, um der Entdeckung zu entgehen. Diese domänenübergreifenden Bedrohungen erzeugen oft weniger Erkennungen in einer einzelnen Domäne oder einem einzelnen Produkt, was es schwierig macht, die Aktivität als bösartig zu erkennen. Um hochentwickelten, domänenübergreifenden Angreifern wie BLOCKADE SPIDER und OPERATOR PANDA immer einen Schritt voraus zu sein, erweitern die CrowdStrike OverWatch-Analysten ihre Jagdgebiete mit innovativer Next-Gen-SIEM-Technologie (Security Information and Event Management), um jede Bewegung der Angreifer zu erfassen.

Obwohl Gegner, die Wert auf schnelle Ausführung legen, die sichtbarste und unmittelbarste Wirkung erzielen, stellen diejenigen, die Tarnung, längere Präsenz und die sorgfältige Ausführung eines „langen Spiels“ betonen, eine ebenso große Bedrohung dar. Diese Operationen umfassen oft den dauerhaften Zugriff, das verdeckte Sammeln von Daten und – in manchen Fällen – die Vorbereitung der Umgebung eines Opfers für zukünftige, wirkungsvollere Operationen. China-nahe Akteure wie GLACIAL PANDA haben sich in diesem Ansatz zunehmend hervorgetan. GLACIAL PANDA zielt hauptsächlich auf den globalen Telekommunikationssektor ab, und zwar durch geduldete und methodische Infiltration, den Aufbau von Persistenz und die tiefgreifende, stille Aufklärung von Zielnetzwerken, -systemen und -daten. Die Schwierigkeit, diese heimlichen Gegner aufzuspüren, wird durch ihre minimalen digitalen Fußabdrücke noch verstärkt, wodurch sie sich leicht in den legitimen Netzwerkverkehr einfügen können. CrowdStrike OverWatch unterbindet diese erfolgreich durch die Durchführung von kundenspezifischen Suchläufen, die trojanisierte Software und bösartigen Code aufdecken, und durch die Konzentration auf wiederholte Versuche, auf sensible Datenquellen zuzugreifen.

Im ersten Halbjahr 2025 stellte CrowdStrike OverWatch einen Anstieg von Cloud-Intrusionen um 136 % im Vergleich zum gesamten Jahr 2024 fest, was die Tatsache unterstreicht, dass immer mehr Bedrohungsakteure sich mit der Ausnutzung von Cloud-Umgebungen vertraut machen. Insbesondere China-nahe Akteure haben schnell Kompetenzen in Techniken zur Ausnutzung von Cloud-Umgebungen erlangt; GENESIS PANDA und MURKY PANDA beispielsweise sind versiert im Navigieren in Cloud-Umgebungen. Im Laufe der letzten 12 Monate beobachtete CrowdStrike OverWatch einen Anstieg von 40 % bei Cloud-Intrusionen, die auf chinesische Akteure zurückzuführen sind. CrowdStrike OverWatch hält Schritt, indem es innovative Suchtechniken für Cloud-Dienste, Workloads und Kontrollbenen entwickelt und gleichzeitig Fortschritte im Bereich des Identitätsschutzes nutzt.

Im CrowdStrike 2025 Global Threat Report berichtete CrowdStrike, dass Sprach-Phishing-Angriffe (Vishing) von der ersten zur zweiten Hälfte des Jahres 2024 um 442 % zugenommen haben, was eine bedeutende und wirksame Weiterentwicklung der Taktiken im Bereich der Cyberkriminalität darstellt. Dieser Trend hat sich im ersten Halbjahr 2025 nicht verlangsamt, wo Vishing-Angriffe bereits die Gesamtzahl von 2024 übertroffen haben. Diese Angriffe sind erfolgreich, weil sie menschliche Schwachstellen ausnutzen und kompromittierte Anmeldedaten sowie Social Engineering einsetzen, um traditionelle Sicherheitsmaßnahmen zu umgehen, sich anfänglich Zugang zu verschaffen und sich schnell innerhalb von Organisationen seitwärts zu bewegen.

Einer der ersten Anwender dieser Taktik ist SCATTERED SPIDER, ein Akteur im Bereich der Internetkriminalität, der für seine ausgefeilten Social-Engineering- und Anmeldedaten-Diebstahltechniken bekannt ist. Im Jahr 2025 kehrte dieser Gegner mit voller Wucht in die eCrime-Landschaft zurück, und obwohl er einige neue Techniken vorführte, blieben Helpdesk-Angriffe ein wichtiges Werkzeug im Arsenal von SCATTERED SPIDER.

Laut  CrowdStrike 2025 Global Threat Report betrafen 52 % der von CrowdStrike im Jahr 2024 beobachteten Schwachstellen den ersten Zugriff. Gegner nutzen weiterhin Anwendungen mit Internetanbindung für den ersten Zugriff aus. Wenn Gegner wie GRACEFUL SPIDER Zero-Day-Exploits entwickeln, wird die Fähigkeit von CrowdStrike OverWatch, bösartige Verhaltensweisen nach der Ausnutzung zu identifizieren und zu verfolgen, zu einer kritischen Ausfallsicherung, die eine schnelle und wirksame Abdeckung gegen weit verbreitete Ausnutzung gewährleistet.

Der CrowdStrike 2025 Threat Hunting Report hebt wichtige Trends und Veränderungen hervor, die das CrowdStrike OverWatch-Team in den letzten 12 Monaten beobachtet hat, und erläutert, wie CrowdStrike Falcon® Adversary OverWatch™ Innovation und proaktive, informationsgestützte Bedrohungssuche nutzt, um den Gegner aufzuspüren, zu erkennen und zu stoppen. Der diesjährige Bericht stellt Trends dar, die das Team vom 1. Juli 2024 bis zum 30. Juni 2025 identifiziert hat.

In diesem Zeitraum beobachtete CrowdStrike OverWatch folgendes:

• 81 % der interaktiven Angriffe waren frei von Schadsoftware.
  • Interaktive (manuelle) Eingriffe über die Tastatur nahmen im Jahresvergleich um 27 % zu, was verdeutlicht, dass Angreifer ihre Vorgehensweisen innovativ gestalten, um herkömmliche Erkennungsmethoden zu umgehen.
  • eCrime-Aktivitäten machten 73 % aller interaktiven Einbrüche aus.
  • Cloud-Intrusionen nahmen im ersten Halbjahr 2025 im Vergleich zum Gesamtjahr 2024 um 136 % zu.
  • CrowdStrike OverWatch beobachtete einen Anstieg von 40 % im Jahresvergleich bei Einbrüchen, die von mutmaßlichen, cloud-affinen Akteuren mit China-Bezug verübt wurden.
  • Im ersten Halbjahr 2025 übertraf die Anzahl der Vishing-Angriffe bereits die Gesamtzahl des Jahres 2024.
  • Der Regierungssektor war von einer Zunahme interaktiver Angriffe um 71 % im Jahresvergleich und einer Zunahme gezielter Angriffe um 185 % im Jahresvergleich betroffen.
  • FAMOUS CHOLLIMA-Insider haben in den letzten 12 Monaten über 320 Unternehmen infiltriert – eine Steigerung von 220 % gegenüber dem Vorjahr – indem sie GenAI in jeder Phase des Einstellungs- und Beschäftigungsprozesses nutzten.
  • SCATTERED SPIDER beschleunigte seine Operationen – in einem Fall ging der Angreifer innerhalb von nur 24 Stunden von der Kontoübernahme zur Ransomware-Bereitstellung über, 32 % schneller als im Jahr 2024.

Ausblick

GenAI verbessert die Operationen von Bedrohungsakteuren, anstatt bestehende Angriffsmethoden zu ersetzen. Die Wirksamkeit dieser Instrumente hängt jedoch von der Systemverfügbarkeit, dem Gleichgewicht zwischen defensiven und offensiven Fähigkeiten und der betrieblichen Integration ab.

Es ist unwahrscheinlich, dass GenAI offensive oder defensive Operationen eindeutig begünstigt. Vielmehr werden versiertere Nutzer ihren Vorteil bei der Ausschöpfung des Potenzials von GenAI wahrscheinlich weiterhin behalten, insbesondere im Bereich technischer Abläufe. Das liegt zum Teil daran, dass KI-generierter Code immer noch ein erhebliches menschliches Fachwissen erfordert, um effektiv zu sein.

Bedrohungsakteure aller Motivationen und Fähigkeitsstufen werden mit ziemlicher Sicherheit ihren Einsatz von GenAI-Tools für Social Engineering kurz- bis mittelfristig erhöhen, insbesondere da diese Tools immer verfügbarer, benutzerfreundlicher und ausgefeilter werden.

Aus denselben Gründen werden Akteure, die Informationsoperationen durchführen, mit ziemlicher Sicherheit auch weiterhin KI-generierte Videos, Audiodaten, Bilder und Textinhalte einsetzen, um politische Bewegungen oder Ereignisse zu beeinflussen. Sie werden wahrscheinlich auch weiterhin generative KI nutzen, um scheinbar glaubwürdige Medienwebsites und soziale Netzwerke für die großflächige Verbreitung von Informationen zu erstellen.

Obwohl Verteidiger KI für Sicherheitsfunktionen nutzen können – einschließlich Red Teaming sowie der Erkennung und Reaktion auf Bedrohungen –, schafft die fortgesetzte Integration von KI-Tools durch Unternehmen eine vergrößerte Angriffsfläche, die Bedrohungsakteure wahrscheinlich auszunutzen versuchen werden, indem sie KI-Anwendungen direkt angreifen.

Wie CrowdStrike OverWatch KI für die Bedrohungssuche einsetzt.

CrowdStrike OverWatch konzentriert sich auf den Aufbau einer symbiotischen Beziehung mit KI, die menschliches Wissen erweitert, ohne dabei an Präzision einzubüßen. Dies ermöglicht es dem Team, in globalen Umgebungen schnell, tiefgründig und effizient zu arbeiten – ohne dabei das menschliche Urteilsvermögen zu beeinträchtigen, das die Bedrohungssuche effektiv macht.

CrowdStrike OverWatch nutzt KI, um:

– Abläufe zu skalieren: Die Tools von CrowdStrike OverWatch basieren auf maschinellem Lernen, wodurch das Team Rauschen reduzieren, Signale mit hoher Zuverlässigkeit aufdecken und es Elite-Bedrohungsanalysten ermöglichen kann, schneller und präziser zu arbeiten.
– Komplexe Verhaltensweisen identifizieren: Deep Learning spielt dabei eine entscheidende Rolle. Es ist ein Bereich des maschinellen Lernens, der verwendet wird, um KI-Modelle so zu trainieren, dass sie komplexe Muster erkennen lernen, indem sie große Mengen unstrukturierter Daten verarbeiten.
– Resilienz gegen KI-gestützte Angreifer und Modellvergiftung aufbauen: Verantwortungsvolle KI ist eines der Kernprinzipien, die CrowdStrike OverWatch von Anfang an geprägt haben und sowohl Vertrauen als auch langfristige Widerstandsfähigkeit gewährleisten. Da KI zunehmend zu einem hochrangigen Ziel für Gegner wird, ist diese Disziplin wichtiger denn je. Gegner verwenden jetzt Techniken wie Modellverfälschung und Prompt-Engineering, um die Lernprozesse von KI zu beeinflussen, indem sie bösartigen Code als sicher kennzeichnen.

Innovation is a critical cornerstone to outmaneuver and disrupt the enterprising
adversary. Novel technologies and threat hunting are required to anticipate the
adversary’s next moves, understand their evolving methodologies, and adapt
defenses to stay ahead.

Today’s enterprising adversary is adept at bypassing traditional cybersecurity
defenses. They understand the limitations of conventional safeguards and seek
to exploit security weaknesses and vulnerabilities that established systems
and processes often overlook. This includes exploiting human factors through
sophisticated social engineering techniques — now often enhanced by AI —
and moving to unmanaged devices, which are often significant blind spots in an
organization’s security posture. By targeting devices outside the direct purview
of IT departments, they can establish footholds, exfiltrate data, or launch
further attacks without immediate detection.

The CrowdStrike Counter Adversary Operations team brings together
industry-leading threat intelligence and best-in-class managed threat hunting
with the AI-powered CrowdStrike Falcon® platform to detect, disrupt, and stop
enterprising adversaries. Counter Adversary Operations comprises two closely
integrated teams. The CrowdStrike Intelligence team provides actionable reporting that identifies new adversaries, monitors their activities, and captures emerging cyber threat developments in real time.

The CrowdStrike OverWatch team uses this intelligence to conduct proactive threat hunting across customer telemetry to detect and address malicious activity. Together, these teams protect thousands of customers from the most sophisticated adversaries by providing the intelligence and threat hunting skills and resources that most organizations lack.

Enterprising adversaries are using generative AI (GenAI) to enhance their operations, underscoring the critical need for innovative defensive strategies. The integration of GenAI into insider threat operations by Democratic People’s Republic of Korea (DPRK)-nexus adversary FAMOUS CHOLLIMA rapidly made them the most GenAI-proficient adversary. FAMOUS CHOLLIMA IT workers use GenAI to create attractive résumés for companies, reportedly use real-time deepfake technology to mask their true identities in video interviews, and leverage AI code tools to assist in their job duties, all of which pose a substantial challenge to traditional security defenses.

Adversaries continually seek to stay undetected by moving to unmanaged
networks and expanding their reach. Cross-domain threat hunting is critical, as
adversaries increasingly operate across multiple domains — such as identity,
endpoint, and cloud — in their efforts to evade detection. These cross-domain
threats often generate fewer detections in a single domain or product, making
the activity difficult to recognize as malicious. To stay ahead of sophisticated
cross-domain adversaries such as BLOCKADE SPIDER and OPERATOR PANDA,
CrowdStrike OverWatch hunters are expanding their hunting grounds with
innovative next-gen security information and event management (SIEM)
technology to capture adversaries’ every move.

Though adversaries that prioritize rapid execution have the most visible and
immediate impact, those that emphasize stealth, prolonged presence, and the
meticulous execution of a “long game” approach present an equally potent
threat. These operations often include sustained access, covert data harvesting,
and — in some cases — preparing a victim’s environment for future, more
impactful operations. China-nexus adversaries such as GLACIAL PANDA have
increasingly excelled at this approach. GLACIAL PANDA primarily targets the
global telecommunications sector through patient and methodical infiltration,
established persistence, and deep, quiet reconnaissance of target networks,
systems, and data. The challenge in detecting these stealthy adversaries is
amplified by their minimal digital footprint, allowing them to easily blend into
legitimate network traffic. CrowdStrike OverWatch successfully disrupts them by
conducting customized hunts that uncover trojanized software and malicious code
and focusing on repeated attempts to access sensitive data sources.
In the first half of 2025, CrowdStrike OverWatch identified a 136% increase
in cloud intrusions compared to all of 2024, highlighting the fact that more threat
actors are becoming versed in exploiting cloud environments. China-nexus
adversaries in particular have quickly gained proficiency in cloud exploitation
techniques; GENESIS PANDA and MURKY PANDA, for example, have become
adept at navigating cloud environments. Over the past 12 months, CrowdStrike
OverWatch observed a 40% increase in cloud intrusions attributed to China-nexus
adversaries. CrowdStrike OverWatch keeps pace by developing innovative
hunting techniques for cloud services, workloads, and control planes as well
as leveraging advances in identity protection.

In the CrowdStrike 2025 Global Threat Report, CrowdStrike reported that voice
phishing (vishing) attacks increased by 442% from the first to the second half of
2024, marking a significant and effective evolution in eCrime tactics. This trend
has not slowed down in the first half of 2025, where vishing attacks have already
surpassed the total number seen in 2024. These attacks are successful because
they exploit human vulnerabilities and leverage compromised credentials and
social engineering to bypass traditional security measures, gain initial access,
and move laterally within organizations at speed. One of the earliest adopters
of this tactic is SCATTERED SPIDER, an eCrime adversary well known for their
sophisticated social engineering and credential theft techniques. In 2025,
this adversary exploded back into the eCrime landscape, and though they
showcased some new techniques, help desk attacks have remained a
prominent tool in SCATTERED SPIDER’s arsenal.

Also noted in the CrowdStrike 2025 Global Threat Report, 52% of vulnerabilities
observed by CrowdStrike in 2024 were related to initial access. Adversaries continue to exploit internet-exposed applications for initial access. When adversaries like GRACEFUL SPIDER develop zero-day exploits, CrowdStrike OverWatch’s ability to identify and hunt for post-exploitation malicious behaviors becomes a critical fail-safe, ensuring rapid and effective coverage against widespread exploitation.

The CrowdStrike 2025 Threat Hunting Report highlights key trends and shifts
the CrowdStrike OverWatch team observed over the past 12 months and details
how CrowdStrike Falcon® Adversary OverWatch™ leverages innovation and
proactive, intelligence-informed threat hunting to track, detect, and disrupt the
adversary. This year’s report presents trends the team identified from July 1, 2024,
to June 30, 2025. In this time frame, CrowdStrike OverWatch observed the following:

• 81% of interactive intrusions were malware-free.
• Interactive (hands-on-keyboard) intrusions increased 27% year-over-year,
highlighting that adversaries are innovating their operations to bypass legacy
detection methods.
• eCrime activity represented 73% of total interactive intrusions.
• Cloud intrusions increased 136% in the first half of 2025 compared to all
of 2024.
• CrowdStrike OverWatch observed a 40% year-over-year increase in intrusions
by suspected cloud-conscious China-nexus actors.
• In the first half of 2025, vishing attacks already surpassed the total number
seen in 2024.
• The government sector was affected by a 71% year-over-year increase in
overall interactive intrusions and a 185% year-over-year increase in targeted
intrusion activity.
• FAMOUS CHOLLIMA insiders infiltrated over 320 companies in the last 12
months — a 220% year-over-year increase — by leveraging GenAI at every
stage of the hiring and employment process.
• SCATTERED SPIDER accelerated their operations — in one incident, the adversary moved from account takeover to ransomware deployment in just 24 hours, 32% faster than they were able to accomplish this in 2024.

This report showcases the Counter Adversary Operations team’s relentless pursuit
to disrupt the adversary. In CrowdStrike customer environments, adversaries face
a unified security solution that empowers every CrowdStrike threat hunter with
extensive security telemetry — spanning endpoint, identity, cloud, and next-gen
SIEM, along with integrated intelligence — to detect and disrupt threats quickly
and effectively.

Outlook

GenAI enhances threat actors‘ operations rather than replacing existing attack
methodologies. The effectiveness of these tools, however, depends on system
availability, defensive-offensive capability balance, and operational integration.
GenAI is not likely to definitively benefit offensive or defensive operations. Rather,
more sophisticated users will likely maintain their advantage in exploiting GenAI’s
potential, especially in technical operations. This is partly because AI-generated
code still requires significant human expertise to be effective.
Threat actors of all motivations and skill levels will almost certainly increase their
use of GenAI tools for social engineering in the near- to mid-term, particularly as
these tools become more available, user-friendly, and sophisticated. For these
same reasons, threat actors conducting IO campaigns will also almost certainly
continue to use AI-generated videos, audio, images, and text content to influence
political movements or events. They will also likely continue to leverage GenAI
to build seemingly credible media websites and social networks for large-scale
information dissemination.

Though defenders can leverage AI for security capabilities — including red
teaming and detecting and responding to threats — organizations’ continued AI
tooling integration creates an expanded attack surface that threat actors will likely
seek to exploit by directly targeting AI applications.

How CrowdStrike OverWatch Applies AI to Threat Hunting

CrowdStrike OverWatch focuses on building a symbiotic relationship with AI that scales human insight without sacrificing precision. This enables the team to operate with speed, depth, and efficiency across global environments — without compromising the human judgment that makes threat hunting effective.

CrowdStrike OverWatch leverages AI to:
Scale Operations: CrowdStrike OverWatch’s tooling is built on machine learning, allowing the team to reduce noise, surface high-confidence signals, and enable elite threat hunters to move faster with greater precision.

Identify Complex Behaviors: Deep learning plays a critical role in this process. It’s a domain of machine learning that is used to train AI models to learn to recognize complex
patterns by processing large amounts of unstructured

Build Resilience Against AI-Enabled Adversaries and Model Poisoning: Responsible AI is one of the core principles that has shaped CrowdStrike OverWatch from the beginning, ensuring both trust and long-term resilience. As AI increasingly becomes a high-value target for adversaries, that discipline matters more than ever. Adversaries are now using techniques like model poisoning and prompt engineering to misguide what AI learns by
labeling malicious code as safe.