Nitrogen überfällt Foxconn: Apple-Server-Schemata unter den 8 TB gestohlenen Daten bestätigt

Am 11. Mai 2026 veröffentlichte die Ransomware-Gruppe Nitrogen auf ihrer Leaks-Website im Dark Web die Verantwortung für den Angriff auf die Foxconn Technology Group, den größten Auftragshersteller von Elektronikprodukten der Welt. Foxconn bestätigte den Vorfall am folgenden Tag und teilte mit, dass "einige ihrer Werke in Nordamerika Ziel eines Cyberangriffs" wurden und dass das Cyber-Sicherheitsteam sofort interne Eindämmungsverfahren aktivierte. Am 20. Mai bestätigte das Portal AppleInsider, dass Apple-Server-Schemata unter dem vom Team exfiltrierten Material sind, was die bisherigen Behauptungen des Angreifers untermauert.

Nitrogen beansprucht die Exfiltration von 8 TB an Daten, die sich auf mehr als 11 Millionen Dateien verteilen. Das Material umfasst vertrauliche technische Anweisungen, interne Projektdokumentationen und technische Zeichnungen, die mit Produkten von Apple, Google, Nvidia, Intel und Dell verbunden sind. Die betroffenen Anlagen, so mehrere Fachmedien für Cyber-Sicherheit, umfassen Werke in den Bundesstaaten Wisconsin und Texas, die zentrale Bestandteile der nordamerikanischen Auftragsfertigung des Unternehmens sind. Die Konzentration an geistigem Eigentum von fünf großen Technologieunternehmen in einem einzigen Exfiltrationsereignis ist bis zu den Standards von Vorfällen mit Auftragsherstellern unüblich, wo der gängige Angriffsvektor normalerweise Daten eines einzelnen Kunden auf einmal gefährdet.

Wer ist Nitrogen und wie operiert die Gruppe

Die Gruppe Nitrogen ist seit 2023 aktiv und baut auf dem Quellcode des Builders von Conti 2 auf, der nach der Auflösung der ursprünglichen Gruppe im selben Jahr geleakt wurde. Forscher haben betriebliche Verbindungen zum Ökosystem von ALPHV/BlackCat identifiziert, einer der profitabelsten Ransomware-as-a-Service-Gruppen, bevor sie 2024 zerschlagen wurde. Das verfolgte Modell ist die doppelte Erpressung: Verschlüsselung der Systeme des Opfers in Verbindung mit vorheriger Exfiltration von Daten, wodurch zwei unabhängige Zwangswerkzeuge entstehen, die von der Zahlungsentscheidung unabhängig sind.

Die Angriffe auf die Gruppe Foxconn folgen einem Muster der Wiederholung, das besondere Aufmerksamkeit erfordert. Im Jahr 2022 kompromittierte LockBit eine Tochtergesellschaft in Mexiko. Im Jahr 2024 griff dieselbe Gruppe die Foxsemicon Integrated Technology, die Halbleiterabteilung des Unternehmens, an. Der Vorfall im Mai 2026 ist der dritte bestätigte Ransomware-Angriff gegen Einrichtungen der Gruppe in vier Jahren, was auf eine anhaltende Zielrichtung dieser Fertigungskette hindeutet.

Was die Apple-Schemata offenbaren

Technische Zeichnungen und Hardware-Schemata stellen die sensibelste Kategorie von geistigem Eigentum dar, die ein Auftragshersteller speichert. Im Gegensatz zu Zugangsdaten, deren Schaden durch Passwortwechsel eingegrenzt wird, beschreiben Schemata die Geometrien von Komponenten, Fertigungstoleranzen und Schaltkreisarchitekturen, mit einer Lebensdauer, die sich über Jahrzehnte erstrecken kann. Für die vom AppleInsider bestätigten Server-Schemata von Apple könnte die Exposition Informationen über kundenspezifische Prozesshardware, einschließlich Konfigurationen von Plattformen auf Basis der noch in Entwicklung oder kurz vor dem Launch stehenden M-Serie-Chips, umfassen.

Neben den Implikationen für geistiges Eigentum unterliegen einige Designs von Halbleitern und Hochleistungs-Serverkomponenten den Beschränkungen der Export Administration Regulations (EAR) der Vereinigten Staaten. Foxconn und die betroffenen Kunden müssen bewerten, ob die Exfiltration Berichtspflichten beim Bureau of Industry and Security (BIS) auslöst, die sich zu den bereits durch Datenschutzvorschriften und durch Lieferverträge mit US-Regierungsbehörden geforderten Benachrichtigungen addieren. Eine forensische Analyse der geleakten Dokumente, die unabhängig von jedem Kundenunternehmen durchgeführt wird, wird der notwendige Schritt sein, um die tatsächliche Exposition und die geltenden regulatorischen Fristen zu bestimmen.

Fragmentierte Reaktion und Unsicherheit über das Ausmaß

Foxconn teilte der Presse mit, dass die betroffenen Werke den normalen Betrieb wieder aufnehmen, ohne die von Nitrogen verwendete Eindringtechnik, die verschlüsselten Systeme oder die vollständige Authentizität des veröffentlichten Materials zu spezifizieren. Apple, Google, Nvidia, Dell und Intel haben bis zum Zeitpunkt dieser Veröffentlichung keine öffentlichen Erklärungen zu dem Vorfall abgegeben.

Das Fehlen von Stellungnahmen der fünf Unternehmen, deren Projekte im geleakten Material erscheinen, kann nicht als Abwesenheit interner Maßnahmen interpretiert werden. Das öffentliche Management des Vorfalls durch die Kunden von Foxconn wird von Risikomanagern, Cyber-Versicherungsträgern, die Policen für den Fertigungssektor erneuern, und Exportregulierungsbehörden genau beobachtet werden. Das langanhaltende Schweigen bei Vorfällen mit diesem IP-Expositionsprofil wird typischerweise als ungünstiger Indikator in Drittanbieterbewertungen und in Compliance-Audits interpretiert.