Die Hackergruppe Careto (auch „The Mask“ ein staatliches genannt), die im Kontext von Cyberkriminalität in Spanien eine bedeutende Rolle spielt, scheint ein Regierungsgewaechs zu sein.
Careto (spanisch für „Maske“ oder „hässliche Fratze“) ist der Name einer hochentwickelten Hackergruppe, die 2014 von der russischen Cybersicherheitsfirma Kaspersky entdeckt wurde. Der Name stammt aus dem spanischen Slang, der im Quellcode der von der Gruppe verwendeten Malware gefunden wurde. Careto gilt als eine der fortschrittlichsten Advanced Persistent Threat (APT)-Gruppen ihrer Zeit, vergleichbar mit anderen staatlich unterstützten Gruppen wie Flame oder der Equation Group, mutmaßlich NSA. Die Gruppe ist bekannt für ihre ausgeklügelte Spionagesoftware, die gezielt Regierungen, Unternehmen und Aktivisten weltweit angriff. 2014 durch Kaspersky enttarnt ist sie aktiv mindestens seit 2007.
Regierungsnetzwerke, diplomatische Einrichtungen, Forschungsinstitute, Energieunternehmen und Aktivisten in 31 Ländern, darunter Kuba, Gibraltar, Brasilien, Algerien, Frankreich, Großbritannien und Venezuela waren die Ziele.
Spear-Phishing, gezielte Phishing-E-Mails, oft als spanische Zeitungen getarnt, maßgeschneiderte Malware für Windows, Linux, macOS und möglicherweise mobile Betriebssysteme (iOS, Android. Nach der Entdeckung durch Kaspersky zog sich die Gruppe innerhalb weniger Stunden zurück und löschte alle Spuren ihrer Aktivitäten, was ihre hohe Professionalität unterstreicht.
Die Careto-Gruppe wurde lange Zeit nicht öffentlich einer bestimmten Regierung zugeordnet, doch mehrere Quellen, darunter ehemalige Kaspersky-Mitarbeiter, behaupten, dass sie von der spanischen Regierung, insbesondere dem spanischen Geheimdienst CNI (Centro Nacional de Inteligencia), gesteuert wurde.
Der Quellcode der Malware enthielt spanische Begriffe und Debug-Statements, die auf Entwickler mit Spanisch als Muttersprache hindeuten. Careto zielte besonders auf Kuba, wo Mitglieder der baskischen Terrororganisation ETA, Euskadi Ta Askatasuna, Zuflucht suchten, was ein starkes Interesse der spanischen Regierung nahelegt. Auch Gibraltar, ein umstrittenes Territorium, das Spanien beansprucht, war ein Ziel. Die Malware war hochentwickelt und nutzte Schwachstellen in älteren Versionen von Kasperskys Antiviren-Software, was auf staatliche Ressourcen hinweist.
Ehemalige Kaspersky-Mitarbeiter berichteten TechCrunch, dass es intern „keinen vernünftigen Zweifel“ gab, dass die spanische Regierung hinter Careto steht. Kaspersky vermied jedoch eine öffentliche Benennung, um diplomatische Spannungen zu vermeiden.
Kuba war ein Hauptziel, insbesondere ein kubanisches Regierungsnetzwerk, das als „Patient Zero“ für die Untersuchung diente. Die hohe Anzahl an Opfern in Kuba und die geopolitische Bedeutung der Insel,z. B. als Zufluchtsort für ETA-Mitglieder, deuten auf ein strategisches Interesse Spaniens hin. Nach der Veröffentlichung der Kaspersky-Berichte 2014 verschwand Careto sofort aus dem Netz, was auf eine gut organisierte, möglicherweise staatlich gelenkte Operation hindeutet. Neuere Berichte zeigen, dass Careto weiterhin aktiv ist, insbesondere in Lateinamerika und Zentralafrika, jedoch mit äußerster Vorsicht.
Careto nutzte eine hochmodulare Malware, die auf verschiedenen Plattformen, Windows, Linux, macOS, lief und möglicherweise auch mobile Systeme angriff.
Die Angreifer versendeten gezielte E-Mails, die als spanische Zeitungen getarnt waren, um Opfer zu infizieren. Diese E-Mails enthielten Links zu gefälschten Websites, die Malware auslieferten. Die Malware konnte sensible Daten wie private Konversationen, Tastenanschläge, kryptografische Schlüssel und WLAN-Datenverkehr ausspionieren.
Careto bestand aus mehreren Modulen, die je nach Ziel angepasst wurden, z. B. für die Suche nach Dokumenten oder die Überwachung von Netzwerken.
Die Gruppe nutzte Zero-Day-Exploits und Schwachstellen in Software, einschließlich Kasperskys eigener Antiviren-Software, um unentdeckt zu bleiben.
Die Malware war so fortschrittlich, dass Kaspersky sie als „Elite-APT“ einordnete, vergleichbar mit den besten staatlich unterstützten Hacking-Gruppen.
Careto unterscheidet sich von typischer Cyberkriminalität in Spanien, da es sich vermutlich um eine staatlich gesteuerte Operation handelt, während die meisten Cyberstraftaten in Spanien von kriminellen Gruppen oder Einzelpersonen ausgehen.
Betrügerische E-Mails und SMS zielen oft auf Bankkunden und Touristen ab.
Unternehmen und öffentliche Einrichtungen sind regelmäßig Ziel von Erpressungssoftware, die Daten verschlüsselt und Lösegeld fordert.
Im Darknet werden Schadsoftware, gestohlene Daten und Hacking-Dienste angeboten, was auch weniger technisch versierten Kriminellen den Zugang erleichtert. Diese zielen oft auf Behörden oder Unternehmen, um Websites lahmzulegen, und wurden 2023 verstärkt durch hacktivistische Gruppen ausgeführt. Spanische Behörden waren an der Abschaltung von zwei großen Cybercrime-Foren, „nulled.to“ und „cracked.io“ beteiligt, die weltweit rund 10 Millionen Nutzer hatten.
Mindestens 65 katalanische Politiker und Aktivisten, darunter der Regionalpräsident Pere Aragonès, wurden mit der Spyware Pegasus, entwickelt von NSO Group, ausspioniert, was Spannungen zwischen Katalonien und Madrid auslöste.
Ein massiver Blackout in Spanien und Portugal führte zu Spekulationen über einen Cyberangriff, obwohl der Netzbetreiber Red Eléctrica Española dies ausschloss. Die spanische Justiz prüft jedoch weiterhin „Computersabotage“ als mögliche Ursache.
Während die meisten Cyberstraftaten in Spanien finanziell motiviert sind, z. B. Bankbetrug, Ransomware, war Careto auf Cyber-Spionage ausgerichtet, mit klaren geopolitischen Zielen. Dies deutet auf eine staatliche Agenda hin, im Gegensatz zu den opportunistischen Angriffen krimineller Netzwerke.
Die Enthüllung, dass Careto vermutlich von der spanischen Regierung gesteuert wurde, hat in der Cybersicherheits-Community und international für Aufsehen gesorgt
Kaspersky vermied 2014 eine öffentliche Zuordnung zu Spanien, vermutlich um diplomatische Konflikte zu vermeiden. Interne Quellen bestätigten jedoch 2025 gegenüber TechCrunch, dass die spanische Regierung als Drahtzieher galt.
Careto ist eine der wenigen westlichen Hacking-Gruppen, die öffentlich diskutiert wurden, neben der Equation Group (USA), The Lamberts (CIA) und Animal Farm (Frankreich). Dies zeigt, dass nicht nur Länder wie Russland oder China, sondern auch westliche Staaten Cyber-Spionage betreiben.
Auf Plattformen wie Facebook wird die Enthüllung als Beweis für Spaniens Engagement in der globalen Cyber-Spionage diskutiert. Nutzer betonen, dass dies die Bedeutung der Cybersicherheit als Teil der nationalen Sicherheitsstrategie unterstreicht.
Spanien hat robuste Strukturen zur Bekämpfung von Cyberkriminalität entwickelt, die sowohl kriminelle als auch staatlich gesteuerte Bedrohungen abdecken. Die Guardia Civil und die Policía Nacional, insbesondere die Unidad de Investigación Tecnológica, sind für Cybercrime zuständig. Das Instituto Nacional de Ciberseguridad (INCIBE) spielt eine zentrale Rolle in der Prävention und Aufklärung.
Internationale Zusammenarbeit: Spanien arbeitet eng mit Europol, Interpol und anderen Ländern zusammen, wie bei der Operation Talent 2025, bei der zwei Cybercrime-Foren abgeschaltet wurden.
INCIBE bietet Schulungen und Sensibilisierungskampagnen an, um Unternehmen und Bürger vor Phishing, Ransomware und anderen Bedrohungen zu schützen.
Careto zeigt, wie komplex und vielschichtig Cyber-Spionage ist, besonders wenn sie von einem westlichen Staat wie Spanien betrieben wird.
Cyber-Spionage ist nicht auf Länder wie Russland oder China beschränkt. Westliche Staaten wie Spanien nutzen ähnliche Methoden, um geopolitische Interessen durchzusetzen.
Die Modularität und Anpassungsfähigkeit der Careto-Malware machen sie zu einem Vorbild für andere APT-Gruppen.
Da Careto vermutlich staatlich unterstützt ist, ist eine Strafverfolgung schwierig, da Regierungen ihre Aktivitäten oft vertuschen.
Die Hackergruppe Careto ist ein faszinierendes Beispiel für staatlich unterstützte Cyber-Spionage, die vermutlich vom spanischen Geheimdienst CNI gesteuert wird. Ihre Aktivitäten, die sich auf geopolitisch sensible Ziele wie Kuba und Gibraltar konzentrieren, zeigen Spaniens Engagement in der globalen Cyberarena. Im Gegensatz zu typischer Cyberkriminalität in Spanien, die oft finanziell motiviert ist (z. B. Phishing, Ransomware), verfolgt Careto strategische Ziele, was sie zu einer Ausnahme macht. Die Enthüllung ihrer Verbindungen zur spanischen Regierung wirft Fragen zur Ethik und Transparenz staatlicher Cyberoperationen auf.
