Mysteriöser „Misere“-Hacker dringt in Messaging-Plattform der französischen Regierung ein

Montag, 15. Juni 2026
Wir stehen also vor einem Dilemma. Eine offizielle Erklärung besagt, dass der Einbruch am 7. Juni stattfand (nicht entdeckt wurde, sondern stattfand) und sich auf 9 % der Nutzer beschränkte. Eine klassische, wenn auch nicht unzutreffende Verharmlosung. Doch fast unmittelbar darauf stimmt ein unbekanter Threat Actor der Anzahl der betroffenen Konten zu, behauptet jedoch, 13,5 GB tatsächlicher Daten gestohlen zu haben. Wir können dieses letztere Detail nicht verifizieren, da wir nur Berichte über einen Bericht haben – aber wenn wir Genauigkeit und Ehrlichkeit unterstellen, ist es realistisch anzunehmen, dass diese Datenmenge an einem einzigen Tag von einem ansonsten unbekannten Threat Actor gesammelt und exfiltriert werden kann?
Um weitere Einblicke in Ursachen und Auswirkungen zu gewinnen, sprachen wir mit Ilia Kolochenko, einem zugelassenen Rechtsanwalt sowie CEO, Gründer und Chefarchitekt bei ImmuniWeb. ImmuniWeb betreibt für seine Kunden einen Dark Web Monitoring- und Threat Intelligence-Dienst und beobachtet täglich Tausende verschiedener Vorfälle.
Könnte „Misere“ ein Pseudonym sein, das ein staatlicher Akteur für diese kleine und relativ unbedeutende Sicherheitslücke angenommen hat – zum Beispiel Russland, um Frankreich wegen seiner pro-ukrainischen Haltung in Verlegenheit zu bringen; oder die USA, die dasselbe wegen ihrer anti-iranischen Kriegshaltung tun? Kolochenko ist das nicht: „Weil es ein wenig trivial ist. Das ist zu klein, als dass sich Geheimdienste großer Mächte damit beschäftigen würden.“
Vor 2024 hatte er beobachtet, wie state actors Systeme kompromittierten und schnell darauf reagierten. „Aber seit 2024“, fuhr er fort, „neigen state actors dazu, einzudringen und sich dann zurückzuhalten. Alarmierend ist nun ein neuer Trend, bei dem state actors stillschweigend in kritische nationale Infrastrukturen und deren Zulieferer eindringen. Sie setzen einfach überall Backdoors ein, um die Kontrolle über die Infrastruktur eines Landes zu erlangen. Sie dringen immer tiefer und tiefer vor und versuchen, Zugang zu so vielen kritischen Systemen wie möglich zu erhalten.“ Die Motivation besteht darin, sich so zu positionieren, dass mehrere, wenn nicht sogar alle kritischen Industrien eines feindlichen Landes gleichzeitig lahmgelegt werden können. Dies ist Cyberkrieg zur Vorbereitung auf oder zur Verteidigung gegen einen möglichen kinetischen Krieg.
Er hält die Vermutung, dass es sich bei dem Vorfall um ein Account Takeover handelte, ebenfalls nicht für aufschlussreich. Es könnte so simpel sein, dass ein Hacker die Credentials aus Infostealer-Logs bezieht; bei einem fortgeschrittenen Hacker wäre das jedoch nicht nötig. „In der heutigen Cloud- und AI-Welt muss man keine Cookies mit Infostealern stehlen. Man braucht keine Zero-Days. Man sendet einfach eine legitime Anfrage an eine API, erhält alle Datensätze einer staatlichen Einrichtung oder eines privaten Unternehmens, und alles landet innerhalb weniger Stunden auf der Festplatte.“
Eine solche Hypothese könnte erklären, wie Misere am selben Tag, an dem der Einbruch entdeckt wurde, 3,5 GB an Daten exfiltrieren konnte.
Gibt der Name „misere“ einen Hinweis auf den Akteur oder die Motivation? Auch hier: Nein.
„Der diesem Akteur gegebene Name ist bedeutungslos“, so Kolochenko. „Manchmal möchte ein Hacker oder eine Gruppe ihren Ruf für bedeutendere Hacks schützen und nimmt eine ‚Wegwerf-Identität‘ an. Manchmal gibt sich eine Gruppe als eine andere aus, die als Rivale angesehen werden könnte oder mit einer anderen gegnerischen Nation verbunden ist.“ Dass der Name unbekannt ist, bedeutet nicht, dass der Akteur unbekannt ist.
Insgesamt sieht dieser Angriff eines unbekannten Hackers auf ein sicheres Regierungs-Chat-System nicht wie ein APT-Angriff aus. Doch genau das könnte das Ziel sein. Schließlich sind 70.000 Regierungsmitarbeiter betroffen. DINUM stellt in seiner Meldung zur Sicherheitsverletzung fest: „Die potenziell exponierten Benutzerkontodaten umfassen mindestens: Vor- und Nachname, E-Mail-Adresse, zugehörige Einrichtung und Avatar.“ Die zugehörige Einrichtung würde offenbaren, welche Regierungsbehörde beteiligt ist, die E-Mail-Adresse ist bekannt, und Misere behauptete außerdem, 640.000 Chat-Nachrichten (im Klartext) gesammelt zu haben.
Diese Kombination wäre eine Fundgrube für nachfolgendes gezieltes Spear Phishing, wertvoll sowohl für finanziell motivierte Cybergangs als auch für Staatliche Akteure, die letztlich nicht Tchap, sondern die Ministerien ins Visier nehmen, die die Tchap-Nutzer beschäftigen. Vollständigen Artikel lesen
Barrister Magazine: Interview: Why the “invisible” use of AI is now the biggest liability in legal practice
Euronewsweek: Betrüger nutzen KI, um gefälschte Videos von Influencern auf Fiverr zu verkaufen