Geist in der Cloud: Chinesische Hacker waren 18 Monate in M365 unterwegs

Veröffentlicht am 13. Juni 2026 von Günter Born

Sicherheitsforscher sind auf eine Infektion von Microsoft 365-Tenants gestoßen, wo Angreifer (mutmaßlich chinesische Hacker) sich über einen Zeitraum von 18 Monaten unerkannt in der Microsoft 365-Cloud von Firmen und einem Managed Service Provider (MSP) festsetzen konnten.


Ich bin bereits von einer Woche über nachfolgenden Tweet auf den Sachverhalt gestoßen, der von International Business Times im Artikel Chinese Threat Group Hid Inside Microsoft 365 Networks for 18 Months Using Secret Malware Arsenal vom 6. Juni 2026 dokumentiert wurde.

M365-Hack

Die als UNC5221, auch als VerdantBamboo, bezeichneten, mutmaßlich chinesischen, Hacker nutzten Malware wie Brickstorm-Backdoor, Plenet/.NET-Backdoor und AgentPSD, kombiniert mit Living-off-the-Land-Techniken und gestohlenen Zugangsdaten, um Conditional Access zu umgehen und über kompromittierte Firewallslangfristig Zugang zu den Netzwerken der Opfer und zu einem Managed Service Provider (MSP) zu verschaffen, ohne dabei entdeckt zu werden.

Den Angreifern gelang es, mindestens 18 Monate lang unentdeckt in Microsoft 365-Netzwerken und bei einem Managed Service Provider aufzuhalten. Die Entdeckung erfolgte durch Volexity bei einer Incident Response an US-Unternehmen wie Kanzleien und SaaS-Anbietern. Der Vorfall zeigt die hohe Raffinesse chinesischer APTs bei der Persistenz in Cloud-Umgebungen.

UNC5221 wird seit mindestens 2023 mit Cyberspionagekampagnen in Verbindung gebracht und ist dafür bekannt, Zero-Day-Schwachstellen in mit dem Internet verbundenen Systemen auszunutzen.

Google hatte bereits im April 2024 und erneut im September 2025 den Einsatz von Brickstorm durch die Gruppe UNC5221 dokumentiert und die Aktivitäten mit Angriffen gegen Anwaltskanzleien, Software-as-a-Service-Anbieter, Unternehmen für Business Process Outsourcing und Technologieunternehmen in Verbindung gebracht.

Angreifer erlangten nach der Absicherung der Systeme erneut Zugriff darau. Die Untersuchung von Volexity begann nach einen Vorfall, bei dem ein Egnyte Storage Sync-System kompromittiert wurde. Berichten zufolge nutzten die Angreifer den Zugriff über das Web-SSL-VPN des Opfers und setzten die Proxy-Funktionen von Brickstorm sowie gestohlene Anmeldedaten ein, um in die Microsoft 365-Umgebung des Unternehmens vorzudringen.

"Volexity geht mit hoher Sicherheit davon aus, dass dies geschah, um sich in den legitimen Netzwerkverkehr einzufügen und Richtlinien für den bedingten Zugriff zu umgehen, die den Zugriff andernfalls verhindert hätten", so die Forscher. Die Untersuchung ergab später, dass die Angreifer seit mindestens 18 Monaten im Netzwerk aktiv waren. Selbst nachdem die Abhilfemaßnahmen abgeschlossen waren, gelang es dem Angreifer, das Unternehmen erneut zu kompromittieren. Weitere Details lassen sich hier nachlesen.

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.