Hohe Missbrauchsquote dokumentiert

Die IP-Adresse 195.24.236.50 wurde laut Einträgen bei AbuseIPDB insgesamt 592 Mal von 277 unterschiedlichen Quellen gemeldet. Die gemeldeten Vorfälle umfassen unter anderem Brute-Force-Angriffe, Port-Scanning, Botnet-Kommunikation und automatisierte Exploit-Versuche. Eine derart hohe Anzahl unabhängiger Meldungen deutet nicht auf vereinzelte Fehlkonfigurationen hin, sondern auf systematische Nutzung zu offensiven Zwecken.

Wichtig ist jedoch die sachliche Einordnung: Eine hohe Abuse-Quote beweist nicht automatisch Täterschaft des registrierten Inhabers – sie belegt zunächst nur die wiederholte Nutzung der Infrastruktur für Angriffsaktivitäten.

Registrierung bei RIPE NCC als eigenständiger Anbieter

Der IP-Block ist im Register der RIPE NCC einer Organisation mit der Kennung ORG-JN58-RIPE zugeordnet. Als Inhaber wird eine Person namens Jafar Naderlo geführt. Die Eintragung als sogenanntes LIR (Local Internet Registry) bedeutet, dass es sich formal um einen eigenständigen Internetanbieter mit eigenen Adressressourcen handelt – nicht um einen gewöhnlichen Privatnutzer.

Die zugehörige Autonome Systemnummer lautet AS60223, betrieben unter dem Namen „Netiface“, mit technischer Anbindung in den Niederlanden.

Im August 2025 wurde eine zweite Organisation mit nahezu identischen Strukturdaten angelegt:

• ORG-JN59-RIPE
• IP-Block: 194.26.66.0/24
• AS205899 („PAPILIOHOST“)
• identische niederländische Adressangabe

Diese Doppelstruktur ist ungewöhnlich. Seriöse Hosting-Unternehmen treten konsistent unter einer klaren Firmierung auf. Mehrere nahezu identische Organisationseinträge mit unterschiedlichen AS-Nummern sind im professionellen Marktumfeld selten und werfen Fragen auf.

Widersprüchliche Standortangaben

Besonders auffällig sind die im Whois-Register hinterlegten Adressen:

• „No 59, Computer Central of Valiasr“, Teheran, Iran
• Eygelshoven, Niederlande

Die parallele Nennung zweier Länder in unterschiedlichen geopolitischen Räumen ist kein Beweis für illegale Aktivitäten – sie ist jedoch erklärungsbedürftig. Während internationale Hosting-Unternehmen häufig Niederlassungen unterhalten, erfolgt die Darstellung üblicherweise transparent über eine klar benannte Gesellschaftsstruktur.

Hinzu kommt ein administrativer Kontakt namens „Arshia Parvane“ mit iranischer Mobilfunknummer. Ob es sich um einen Mitarbeiter, einen technischen Ansprechpartner oder eine formale Kontaktperson handelt, ist öffentlich nicht verifizierbar.

Keine Szene-Bekanntheit

Bemerkenswert ist, dass der Name „Jafar Naderlo“ in keiner bekannten sicherheitstechnischen Berichterstattung, in keiner einschlägigen Hacker-Datenbank und in keiner Publikation westlicher Sicherheitsbehörden auftaucht. Weder das Bundesamt für Sicherheit in der Informationstechnik noch der Chaos Computer Club noch Fachmedien wie Heise Online führen entsprechende Einträge.

Das spricht gegen die These eines bekannten Einzelakteurs – und eher für eine infrastrukturelle Rolle.

Infrastruktur versus Akteur

In der Cybersicherheitsanalyse ist klar zwischen Täter und Infrastruktur zu unterscheiden. IP-Blöcke können vermietet, weiterverpachtet oder kompromittiert werden. Wer hinter konkreten Angriffskampagnen steht, lässt sich allein auf Basis von Whois-Daten nicht gerichtsfest bestimmen.

Gleichzeitig ist ebenso klar:
Wer als LIR eigene Netze betreibt, trägt Verantwortung für deren Nutzung. Eine dauerhaft hohe Abuse-Dichte ohne wirksame Gegenmaßnahmen ist mindestens ein Indiz für mangelhafte Kontrolle – im ungünstigsten Fall für bewusste Duldung.

Geopolitischer Kontext

Der iranische Cyberraum ist seit Jahren Gegenstand sicherheitspolitischer Analysen. Verschiedene internationale Studien beschreiben ein Ökosystem zahlreicher Hacktivist- und Proxy-Gruppen mit teils koordinierter Ausrichtung. Offiziell unabhängige Akteure nutzen dabei häufig gemietete oder neu registrierte Infrastrukturen, um Attribution zu erschweren.

Wichtig ist hier die Trennung von Fakten und Spekulation:

Faktisch belegt:

• Hohe Abuse-Meldungen zu 195.24.236.50
• Registrierung als eigenständiges LIR
• Parallele Organisationsstrukturen mit ähnlichen Daten
• Iranischer Bezug in den Registrierungsangaben

Nicht belegt:

• Eine direkte staatliche Steuerung
• Persönliche Täterschaft der registrierten Person
• Ein nachweisbarer Zusammenhang zu konkreten APT-Gruppen

Eine direkte Zuordnung zu staatlichen iranischen Strukturen wäre ohne zusätzliche forensische Beweise unseriös.

Bewertung

Die vorliegenden Daten deuten nicht auf einen „berühmten Hacker“ hin, sondern auf eine möglicherweise bewusst flexibel gehaltene Hosting-Struktur mit auffälliger Missbrauchsstatistik. Ob es sich um:

1. einen schlecht kontrollierten Infrastrukturbetreiber,
2. einen absichtlich anonymisierten Reseller,
3. oder um eine gezielt aufgebaute operative Plattform handelt,

lässt sich auf Basis der offenen Quellen nicht abschließend klären.

Was jedoch klar ist:
Ein IP-Block mit hunderten unabhängigen Missbrauchsmeldungen ist kein Zufall und kein Bagatelldelikt. Er gehört in die Beobachtung professioneller Sicherheitsanalysten und CERT-Strukturen.

Fazit

Die Kombination aus hoher Abuse-Quote, doppelter Organisationsstruktur, geografischer Inkonsistenz und fehlender öffentlicher Sichtbarkeit ergibt ein Bild, das nicht typisch für einen transparent agierenden Internetanbieter ist. Gleichzeitig wäre jede vorschnelle politische oder strafrechtliche Zuschreibung unseriös.

Cyber-Sicherheit erfordert Nüchternheit:
Nicht jeder auffällige Datensatz ist Beweis für staatliche Operationen – aber Ignorieren ist ebenso fahrlässig.

Weitere technische Tiefenanalysen, Traffic-Korrelationen und Kooperation mit internationalen CERT-Stellen wären erforderlich, um belastbare Schlussfolgerungen zu ziehen.

1. Schattenkampagnen durch eine neue APT-Gruppe
Forscher von Palo Alto Networks (Unit 42) haben eine bisher wenig bekannte, hochentwickelte Hackergruppe entdeckt, die Regierungsnetze in mindestens 37 Ländern infiltriert hat. Die Kampagne nennt sich in Analystenkreisen TGR-STA-1030. Ziele waren Regierungsstellen, Diplomatie-Server und kritische Infrastruktur. Methodisch nutzt sie ausgeklügelte Schadsoftware, etwa das Rootkit „ShadowGuard“, das sich tief und lange im System versteckt. Experten gehen davon aus, dass es sich um staatlich unterstützte Wirtschaftsspionage handelt – also nicht bloß um gewöhnliche Kriminalität.
Bewertung: Das ist eine echte, technisch belegte Cyber-Spionageaktion mit globaler Reichweite – nicht bloß ein „Gerücht“.

2. Salt Typhoon / ähnliche staatliche APT-Gruppen
Einige Staaten betreiben seit Jahren eigene Advanced Persistent Threats (APT):
Die chinesisch-staatliche Gruppe Salt Typhoon (auch als Volt Typhoon oder UNC3886 bekannt) hat nach Einschätzung westlicher Sicherheitsbehörden u. a. kritische Infrastrukturen wie Telekom- und Versorgungsnetze infiltriert. Sicherheitsbehörden warnen, dass Salt Typhoon ebenfalls weltweit agiert, nicht nur in einem Land oder Sektor.
Bewertung: Diese Gruppen sind längerfristig aktiv und kein „aktueller Medienhype“ – sie gehören zur Realität der modernen Cyberkriegs- und Spionagewelt.

3. Weitere staatlich geförderte Cyber-Aktionen
Zusätzlich zeigt aktuelle Forschung und Berichte:
Russische Hackergruppen wie Secret Blizzard (Turla) haben diplomatische Netzwerke kompromittiert und sprechen dort sogar über gezielte Überwachung durch ISPs. Iran-nahe Gruppen wie MuddyWater setzen neue Malware ein, um Regierungsnetze zu infiltrieren und Daten zu exfiltrieren. Generell beobachten Sicherheitsexperten einen Anstieg von KI-gestützten Phishing- und Spionageangriffen, auch gegen verschlüsselte Kommunikation.
Bewertung: Mehrere staatliche Akteure nutzen digitale Cyber-Spionage nicht nur für Geheimdienstziel, sondern auch zur strategischen Einflussnahme und Datengewinnung.

Tatsachen
Es gibt mehrere dokumentierte Fälle von globaler Cyber-Spionage durch staatlich unterstützte Gruppen. Diese greifen gezielt Regierungs- und kritische Infrastruktur-Netzwerke an. Experten sind sich einig, dass diese Angriffe technisch anspruchsvoll und koordiniert sind.

Einordnung der Risiko-Ebene
Das ist kein einmaliger Hack, sondern ein dauerhafter globaler Konflikt im Cyberraum. Geheimdienste, Sicherheitsfirmen und nationale Behörden warnen regelmäßig vor solchen Aktivitäten. Eine pauschale Aussage wie „alle Regierungen sind komplett kompromittiert“ wäre übertrieben – dennoch ist der Trend real und wachsend.

Fazit (Reine Meinung)
Cyber-Spionage ist keine Theorie, sondern Realität. Große staatlich unterstützte Gruppen dringen seit Jahren gezielt in Regierungs- und Infrastruktur-IT-Systeme ein. Die aktuelle Meldung über eine neue, weitreichende Kampagne passt zu dem übergeordneten Muster der modernen digitalen Spionage: gut organisiert, technisch auf hohem Niveau und strategisch motiviert. Das bedeutet, dass Sicherheitsexperten, Unternehmen und Staaten dieses Thema sehr ernst nehmen müssen – es ist kein irrelevantes Schlagwort, sondern eine substanzielle Bedrohung für digitale Souveränität und Sicherheit.

Die Rufnummer +4989839311818 aus München wird von der tellows Community mit einem negativen Score bewertet. Die Anrufer geben sich als Mitarbeiter des Zahlungsdienstleisters Paypal aus.

HP verteilt seit dem Jahresanfang wieder Firmware-Updates für zahlreiche Drucker, die dann das Drucken mit Tonerkartuschen von Drittherstellern unterbinden.

mehr dazu lesen …