![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" "\\"Cloud")
Sicherheitsforscher sind auf eine Infektion von Microsoft 365-Tenants gesto\u00dfen, wo Angreifer (mutma\u00dflich chinesische Hacker) sich \u00fcber einen Zeitraum von 18 Monaten unerkannt in der Microsoft 365-Cloud von Firmen und einem Managed Service Provider (MSP) festsetzen konnten.<\/p>\n
Die als UNC5221, auch als VerdantBamboo, bezeichneten, mutma\u00dflich chinesischen, Hacker nutzten Malware wie Brickstorm-Backdoor, Plenet\/.NET-Backdoor und AgentPSD, kombiniert mit Living-off-the-Land-Techniken und gestohlenen Zugangsdaten, um Conditional Access zu umgehen und \u00fcber kompromittierte Firewallslangfristig Zugang zu den Netzwerken der Opfer und zu einem Managed Service Provider (MSP) zu verschaffen, ohne dabei entdeckt zu werden.<\/p>\n Den Angreifern gelang es, mindestens 18 Monate lang unentdeckt in Microsoft 365-Netzwerken und bei einem Managed Service Provider aufzuhalten. Die Entdeckung erfolgte durch Volexity bei einer Incident Response an US-Unternehmen wie Kanzleien und SaaS-Anbietern. Der Vorfall zeigt die hohe Raffinesse chinesischer APTs bei der Persistenz in Cloud-Umgebungen.<\/p>\n UNC5221 wird seit mindestens 2023 mit Cyberspionagekampagnen in Verbindung gebracht und ist daf\u00fcr bekannt, Zero-Day-Schwachstellen in mit dem Internet verbundenen Systemen auszunutzen.<\/p>\n Google hatte bereits im April 2024 und erneut im September 2025 den Einsatz von Brickstorm durch die Gruppe UNC5221 dokumentiert und die Aktivit\u00e4ten mit Angriffen gegen Anwaltskanzleien, Software-as-a-Service-Anbieter, Unternehmen f\u00fcr Business Process Outsourcing und Technologieunternehmen in Verbindung gebracht.<\/p>\n Angreifer erlangten nach der Absicherung der Systeme erneut Zugriff darau. Die Untersuchung von Volexity begann nach einen Vorfall, bei dem ein Egnyte Storage Sync-System kompromittiert wurde. Berichten zufolge nutzten die Angreifer den Zugriff \u00fcber das Web-SSL-VPN des Opfers und setzten die Proxy-Funktionen von Brickstorm sowie gestohlene Anmeldedaten ein, um in die Microsoft 365-Umgebung des Unternehmens vorzudringen.<\/p>\n \"Volexity geht mit hoher Sicherheit davon aus, dass dies geschah, um sich in den legitimen Netzwerkverkehr einzuf\u00fcgen und Richtlinien f\u00fcr den bedingten Zugriff zu umgehen, die den Zugriff andernfalls verhindert h\u00e4tten\", so die Forscher.\u00a0Die Untersuchung ergab sp\u00e4ter, dass die Angreifer seit mindestens 18 Monaten im Netzwerk aktiv waren. Selbst nachdem die Abhilfema\u00dfnahmen abgeschlossen waren, gelang es dem Angreifer, das Unternehmen erneut zu kompromittieren. Weitere Details lassen sich hier nachlesen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsforscher sind auf eine Infektion von Microsoft 365-Tenants gesto\u00dfen, wo Angreifer (mutma\u00dflich chinesische Hacker) sich \u00fcber einen Zeitraum von 18 Monaten unerkannt in der Microsoft 365-Cloud von Firmen und einem Managed Service Provider (MSP) festsetzen konnten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,2564,15608,4328],"class_list":["post-326319","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-hack","tag-m365","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326319"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326319\/revisions"}],"predecessor-version":[{"id":326322,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326319\/revisions\/326322"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nIch bin bereits von einer Woche \u00fcber nachfolgenden Tweet<\/a> auf den Sachverhalt gesto\u00dfen, der von International Business Times im Artikel Chinese Threat Group Hid Inside Microsoft 365 Networks for 18 Months Using Secret Malware Arsenal<\/a> vom 6. Juni 2026 dokumentiert wurde.<\/p>\n
![\"M365-Hack\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/M365-Hack.jpg\")
<\/a><\/p>\n