Threat Actor Profiling — jenseits der APT-Namen

Vier Probe-Fragen trennen ein Profil von einer IOC-Sammlung mit
Briefkopf.


Achtundzwanzig für Deutschland relevante APT-Gruppen meldet das
BSI im Lagebericht 2025, zweiundzwanzig waren es im Lagebericht
2024 — und im Achtseiter steht offen, dass die Differenz keine
Vollzählung ist, sondern eine Sichtbarkeitszählung auf Basis
einer einzigen Vendor-Stichprobe plus Bundesbehörden-Telemetrie.
Sieben Namen führt die MITRE-ATT&CK-Groups-Bibliothek für ein
einziges Activity-Cluster: APT29, Cozy Bear, The Dukes, NOBELIUM,
Midnight Blizzard, UNC2452, StellarParticle. Drei Zahlen, die das
Lese-Problem der Branche markieren: Codenamen sind Aktenzeichen,
Profile sind Befunde, und die meisten DACH-Vorstands-Briefings
verwechseln das eine mit dem anderen.


In der vierten Sach-Folge legen wir die Probe-Fragen-Disziplin
neben die Realität der Industrie-Profile. Vier Fragen, ableitbar
aus Caltagirones Diamond-Model und aus dem SANS-CTI-Curriculum
von Nickels: Motivation, Capability, Intent, Opportunity.
Capability und Intent fallen in der Praxis auseinander — die eine
Frage ist eine Werkzeugkasten-Frage, die andere eine
Operations-Frage, und wer sie im Paar belässt, baut
Detection-Entscheidungen entlang eines Vektors, der zwei
Dimensionen hat. Wir lesen drei Fälle gegen das Quartett: Volt
Typhoon mit Five-Eyes-Pre-Positioning-These und
Living-off-the-Land-Tradecraft, Salt Typhoon mit
dreizehn-Nationen-Joint-Advisory zur signalauswertenden Sammlung
auf Telekommunikations-Backbones, und APT28 mit dem zehnjährigen
Profil-Wachstum von FireEye-Codename 2014 bis zur konsolidierten
Bundesregierungs-Attribution durch BfV und BMI am 3. Mai 2024.


Was die BSI-Zahl methodisch misst — und was nicht. Warum
Mandiants APT44-Reklassifizierung trotz Vendor-Eigeninteresse ein
Lehrstück für ein sauberes Profil ist. Wie die Cyderes-Kritik an
ATT&CK-Dual-Use-Techniken die Probe-Frage Capability trifft,
ohne sie zu kippen — und wie MITREs „Summiting the Pyramid" v3.0
mit STP-Bewertung pro Detection-Regel die Lücke wieder schliesst.
Warum die Bitkom-Zahl 87 Prozent Betroffenheit gefühlte
Betroffenheit misst, nicht forensische Vorfälle. Und warum Robert
M. Lees Trennung zwischen Activity-Tracking und True Attribution
für die meisten DACH-Defender den entscheidenden Layer-Wechsel
markiert.


Die Folge argumentiert gegen den Konsens, dass ein
Industrie-Profil mit IOC-Tabelle und ATT&CK-Tags schon ein
operativ nützliches Profil sei — und hält sich strikt an die
Methoden-Offenlegungen, die in den Berichten selbst stehen, wenn
man sie liest. Das Probe-Fragen-Quartett ist editorische
Heuristik, nicht der etablierte Industrie-Standard. Wir markieren
das explizit, weil die Industrie genug Frameworks hat, die als
„neu" verkauft werden und es nicht sind.


Was du mitnimmst
Vor jedem Industrie-Profil die vier Fragen Motivation,
Capability, Intent, Opportunity explizit durchgehen — und wenn
drei davon nicht beantwortet sind, das Dokument als Rohstoff
behandeln, nicht als Profil. Activity-Tracking von True
Attribution trennen — Big-A-Attribution gehört in den
strategischen Layer, nicht in den taktischen Workflow. Amtliche
Methoden-Offenlegung als Mass-Standard nutzen, an dem
Vendor-Reports gemessen werden. Pflichtwissen für jeden, der
Vendor-Reports filtert, Threat-Briefings ans Board weitergibt
oder Detection-Entscheidungen aus Industrie-Profilen ableitet.


Geschüttelt. Nicht gerührt.