APTs sehen es zielgerichtet auf Datendiebstahl „im großen Stil“ ab. Sie bedrohen in erster Linie größere Unternehmen und Organisationen sowie die IT-Infrastruktur von Staaten. Dementsprechend handelt es sich bei den Angreifer:innen nicht um einzelne Hacker:innen oder Kriminelle, die auf einen schnellen Diebstahl oder Betrug aus sind, wie beispielsweise beim Betrug durch Spam-Mails.
In den meisten Fällen, jedoch nicht ausschließlich, handelt es sich bei APT-Attacken um organisierte Spionage mit einem klaren Auftrag. Die wichtigsten sind:
Industriespionage: Der Diebstahl von Daten durch ein konkurrierendes Unternehmen ist ein Klassiker der Industriespionage. Dies kann Planungen zu Projekten und der Unternehmensstrategie, Pläne und technische Daten zu Produkten und Prototypen, Informationen über die Geschäftsdaten oder vertrauliches Wissen bezüglich der internen Unternehmenspolitik umfassen. Auftraggeber:innen verschaffen sich damit einen illegalen Wettbewerbsvorteil oder erpressen das Opfer.
Staatliche Spionage: Noch eine Ebene höher geht es bei einem APT-Angriff auf staatlicher Ebene. Ein als Ziel auserkorener Staat bietet viele lohnende Angriffsmöglichkeiten: Informationen zur kritischen Infrastruktur (wie Energienetze und Versorgungswege), Verteidigungsmaßnahmen (zum Beispiel militärische Infrastruktur, Standorte, Cyber-Security), staatliche Behörden jedweder Art, persönliche Informationen zu Funktionsträger:innen. Die geraubten Informationen können gezielten (Cyber-)Angriffen, Erpressung oder der Erzeugung politischen Drucks dienen.
„Hacktivismus“: So genannte „Hacktivist:innen“ handeln häufig im Auftrag von Nichtregierungsorganisationen oder der Presse. Ihr Ziel besteht darin, sensible Information zu kriminellen Machenschaften, Korruption oder moralisch verwerflichen Handlungen von Organisationen und Einzelpersonen zu erlangen. Ziel ist die Veröffentlichung, um bislang unbekannte (und möglicherweise kriminelle) Handlungen der Opfer publik zu machen und diese damit zu schwächen.
Gelddiebstahl: Meistens auf einer niedrigeren Ebene angesiedelt ist der vermeintlich profane Diebstahl von Geld oder Unternehmenswerten. Hier sind besonders kleine und mittelständische Unternehmen gefährdet: Hacker:innen können durch den bei einem APT-Angriff möglicherweise unbeschränkten Zugang zu den finanziellen Ressourcen des Opfers ganze Konten plündern und enormen Schaden anrichten.
Die meisten APT-Gruppen haben keinen Namen und arbeiten eher im Verborgenen. Dennoch sind einige der Angriffe charakteristisch für bestimmte Verursacher, die dann über eine laufende Nummer klassifiziert werden. Im Nachhinein lassen sich diesen Nummern dann auch weitere Details wie das Herkunftsland, bevorzugte Ziele und Angriffsmethoden zuordnen. Die nachfolgenden Gruppen sind nur eine kleine Auswahl der aktivsten und gefährlichsten Gruppen, die durch den IT-Sicherheitsdienstleister Fireeye identifiziert wurden:
APT10 ist vermutlich chinesischen Ursprungs und sucht sich meist Angriffsziele aus der Bauwirtschaft und dem Ingenieurwesen sowie der Luft- und Raumfahrtindustrie, von Telekommunikationsunternehmen sowie Regierungsbehörden in den USA, Europa und Japan.
APT39 operiert mutmaßlich vom Iran aus und greift weltweit Ziele an. Bislang werden der Gruppe hauptsächlich Aktionen gegen die Telekommunikations- und Tourismusbranche und damit verbundene IT-Unternehmen vorgeworfen.
APT40 ist eine chinesische Cyberspionagegruppe und konzentriert sich vorwiegend auf Länder, die für die so genannte „neue Seidenstraße“ strategische Bedeutung haben. In der Vergangenheit richteten sich Aktionen dieser Gruppe auch gegen regionale Ziele in Südostasien.
APT41 werden seit 2012 Cyber-Angriffe in mindestens 14 Ländern vorgeworfen, deren Ursprung in China liegt. Die Kampagnen zielen dabei auf Unternehmen des Gesundheitswesens sowie der Telekommunikations- und Hightech-Branche. Besonderen Fokus legen die Hacker:innen dabei auf den Diebstahl geistigen Eigentums. Dabei schreckt die Gruppe auch nicht davor zurück, gezielt Einzelpersonen von Unternehmen als Ziel Ihrer Attacken zu verfolgen und zu schädigen.