Zwei Jahrzehnte im UntergrundUnabhängiger CTI-Analyst. Experte für offensive Sicherheit. Ich habe fast zwei Jahrzehnte im digitalen Schatten verbracht. Hier beginnen technische Innovationen, die oft von Personen vorangetrieben werden, die außerhalb des Gesetzes tätig sind. Mein Schwerpunkt liegt auf der tiefgründigen Analyse von deutsch- und russischsprachigen Tatorten im Darknet und Clearweb.
Phase I: Binäre Obfuskation und PE-StrukturenIch habe 2007 angefangen. Damals war signaturbasiertes AV der einzige Standard, der wichtig war. Die trockene Theorie der Kryptografie war mir egal. Ich wollte die praktische Seite, insbesondere die gezielte Manipulation von Dateisignaturen. Ich wollte wissen, wie man Code für Security Solutions unsichtbar macht.
Diese Neugier führte dazu, Crypters in.NET zu entwickeln. Ich verbrachte Nächte damit, externe Stubs zu optimieren und XOR-basierte Obfuscation sowohl für die Run-Time- als auch für die Scan-Time-Ausführung zu implementieren. Es war eine Besessenheit von PE Structures, den FUD-Status zu erreichen. Ich habe genau die Tools entwickelt, die heute die Grundlage moderner Malware bilden.
2008 war der Dreh- und Angelpunkt. Ich habe eine Meldung vom Zeus-Banking-Trojaner bekommen. Zu sehen, wie diese Web-Injects Banksitzungen in Echtzeit manipulierten, war eine Offenbarung. Um die Logik zu verstehen, ging ich direkt zur Quelle. Ich habe die Gremien des russischen Untergrunds infiltriert und die Debatten der Entwickler verfolgt. 2009 wechselte ich zur Skalierung. Ich habe das Botnet-Wachstum und die RAT-Verbreitung über Torrent-Plattformen analysiert. Es war die Ära, in der Malware-Kampagnen zum ersten Mal globale Geschwindigkeit erreichten.
Phase II: Die Ostfront — Logik und Bosheit2010 tauchte ich tief in die deutsche Szene ein. Das war der Höhepunkt von Foren wie CARDERS und später CNW. Ich habe gelernt, dass Technik nur die Hälfte des Spiels ist. Die wahren Faktoren sind die menschlichen Machtstrukturen, die Hierarchien und das Vertrauen der Torhüter innerhalb der Elitekreise.
2015 haben meine russischen Wurzeln das Spiel verändert. Da ich Muttersprachler bin, konnte ich eine Lücke schließen, die mit technischen Tools nicht erreicht werden kann. Die russische Szene war und ist der deutschen um Meilen voraus. Sie ist koordinierter, professioneller und strukturierter wie ein Unternehmen. Ich habe den Aufstieg von Giganten wie RAMP und die technische Dominanz von Hydra analysiert. Da ich die Sprache als Muttersprache spreche, lese ich nicht nur die Foren. Ich verstehe die Nuancen, den Slang und die unausgesprochenen Hierarchien. Dieser tiefe kulturelle und sprachliche Zugang ermöglichte es mir, Bedrohungsmuster und betriebliche Veränderungen zu erkennen, lange bevor sie den westlichen Mainstream überhaupt erreichten.
Phase III: Intelligenz als Waffe einsetzenIch hatte es satt zuzusehen, wie Unternehmen gejagt werden. Im Jahr 2019 habe ich NEXGAP mitbegründet. Die Mission war einfach. Ich wollte die Erfahrung mit Offensive Security nutzen, um CTI tatsächlich nützlich zu machen. Ich habe gesehen, dass die meisten Verteidigungsstrategien zu langsam waren. Sie sammelten Daten, während sich der Gegner bereits bewegte. Mein Ziel war es, Informationen schnell genug zu verarbeiten, um eine Bedrohung abzuwehren, bevor die erste Payload überhaupt ausgeführt wird.
Wir haben das Modell 2025 getestet. In Zusammenarbeit mit kanadischen Partnern haben wir in nur drei Monaten über 1,5 Milliarden Datensätze aus über 200 geschlossenen Foren, Telegram- und Signalkanälen zusammengefasst. Das ist ein Grad an unterirdischer Sichtbarkeit, der bisher für unmöglich gehalten wurde.
Die Mission: Der europäische SchutzschildEuropa, insbesondere die DACH-Region, ist derzeit ein Hauptziel. Viele europäische Unternehmen sind technologisch weit fortgeschritten, aber kulturell blind gegenüber den Bedrohungen aus dem Osten. Es gibt eine massive Sprachbarriere, die sie daran hindert, zu verstehen, wer sie angreift und warum. Ich möchte diese Lücke schließen. Ich nutze meinen Hintergrund, um europäische Innovationen davor zu schützen, von professionellen Syndikaten, die glauben, dass wir leicht ins Visier genommen werden.
Warum CTI.SH?Hier teile ich meine persönliche Analyse zu Bedrohungen, technischen Veränderungen bei Malware und der Entwicklung der Darknet-Märkte. Meine Philosophie ist einfach. Um einen Gegner zu bekämpfen, muss man seine Sprache sprechen, seine Werkzeuge kennen und seine Geschichte verstehen. Ich habe meine Karriere damit verbracht, genau das zu tun.
Zwei Jahrzehnte im UntergrundUnabhängiger CTI-Analyst. Experte für offensive Sicherheit. Ich habe fast zwei Jahrzehnte im digitalen Schatten verbracht. Hier beginnen technische Innovationen, die oft von Personen vorangetrieben werden, die außerhalb des Gesetzes tätig sind. Mein Schwerpunkt liegt auf der tiefgründigen Analyse von deutsch- und russischsprachigen Tatorten im Darknet und Clearweb.
Phase I: Binäre Obfuskation und PE-StrukturenIch habe 2007 angefangen. Damals war signaturbasiertes AV der einzige Standard, der wichtig war. Die trockene Theorie der Kryptografie war mir egal. Ich wollte die praktische Seite, insbesondere die gezielte Manipulation von Dateisignaturen. Ich wollte wissen, wie man Code für Security Solutions unsichtbar macht.
Diese Neugier führte dazu, Crypters in.NET zu entwickeln. Ich verbrachte Nächte damit, externe Stubs zu optimieren und XOR-basierte Obfuscation sowohl für die Run-Time- als auch für die Scan-Time-Ausführung zu implementieren. Es war eine Besessenheit von PE Structures, den FUD-Status zu erreichen. Ich habe genau die Tools entwickelt, die heute die Grundlage moderner Malware bilden.
2008 war der Dreh- und Angelpunkt. Ich habe eine Meldung vom Zeus-Banking-Trojaner bekommen. Zu sehen, wie diese Web-Injects Banksitzungen in Echtzeit manipulierten, war eine Offenbarung. Um die Logik zu verstehen, ging ich direkt zur Quelle. Ich habe die Gremien des russischen Untergrunds infiltriert und die Debatten der Entwickler verfolgt. 2009 wechselte ich zur Skalierung. Ich habe das Botnet-Wachstum und die RAT-Verbreitung über Torrent-Plattformen analysiert. Es war die Ära, in der Malware-Kampagnen zum ersten Mal globale Geschwindigkeit erreichten.
Phase II: Die Ostfront — Logik und Bosheit2010 tauchte ich tief in die deutsche Szene ein. Das war der Höhepunkt von Foren wie CARDERS und später CNW. Ich habe gelernt, dass Technik nur die Hälfte des Spiels ist. Die wahren Faktoren sind die menschlichen Machtstrukturen, die Hierarchien und das Vertrauen der Torhüter innerhalb der Elitekreise.
2015 haben meine russischen Wurzeln das Spiel verändert. Da ich Muttersprachler bin, konnte ich eine Lücke schließen, die mit technischen Tools nicht erreicht werden kann. Die russische Szene war und ist der deutschen um Meilen voraus. Sie ist koordinierter, professioneller und strukturierter wie ein Unternehmen. Ich habe den Aufstieg von Giganten wie RAMP und die technische Dominanz von Hydra analysiert. Da ich die Sprache als Muttersprache spreche, lese ich nicht nur die Foren. Ich verstehe die Nuancen, den Slang und die unausgesprochenen Hierarchien. Dieser tiefe kulturelle und sprachliche Zugang ermöglichte es mir, Bedrohungsmuster und betriebliche Veränderungen zu erkennen, lange bevor sie den westlichen Mainstream überhaupt erreichten.
Phase III: Intelligenz als Waffe einsetzenIch hatte es satt zuzusehen, wie Unternehmen gejagt werden. Im Jahr 2019 habe ich NEXGAP mitbegründet. Die Mission war einfach. Ich wollte die Erfahrung mit Offensive Security nutzen, um CTI tatsächlich nützlich zu machen. Ich habe gesehen, dass die meisten Verteidigungsstrategien zu langsam waren. Sie sammelten Daten, während sich der Gegner bereits bewegte. Mein Ziel war es, Informationen schnell genug zu verarbeiten, um eine Bedrohung abzuwehren, bevor die erste Payload überhaupt ausgeführt wird.
Wir haben das Modell 2025 getestet. In Zusammenarbeit mit kanadischen Partnern haben wir in nur drei Monaten über 1,5 Milliarden Datensätze aus über 200 geschlossenen Foren, Telegram- und Signalkanälen zusammengefasst. Das ist ein Grad an unterirdischer Sichtbarkeit, der bisher für unmöglich gehalten wurde.
Die Mission: Der europäische SchutzschildEuropa, insbesondere die DACH-Region, ist derzeit ein Hauptziel. Viele europäische Unternehmen sind technologisch weit fortgeschritten, aber kulturell blind gegenüber den Bedrohungen aus dem Osten. Es gibt eine massive Sprachbarriere, die sie daran hindert, zu verstehen, wer sie angreift und warum. Ich möchte diese Lücke schließen. Ich nutze meinen Hintergrund, um europäische Innovationen davor zu schützen, von professionellen Syndikaten, die glauben, dass wir leicht ins Visier genommen werden.
Warum CTI.SH?Hier teile ich meine persönliche Analyse zu Bedrohungen, technischen Veränderungen bei Malware und der Entwicklung der Darknet-Märkte. Meine Philosophie ist einfach. Um einen Gegner zu bekämpfen, muss man seine Sprache sprechen, seine Werkzeuge kennen und seine Geschichte verstehen. Ich habe meine Karriere damit verbracht, genau das zu tun.