Eine neue Welle hochprofessioneller Cyberangriffe zielt gezielt auf Vorstände und kritische Infrastrukturen. Sicherheitsexperten und Behörden warnen vor einer gefährlichen Eskalation automatisierter Erpressungsmethoden im Frühjahr 2026.
Die Angriffe kombinieren künstliche Intelligenz (KI), ausgeklügelte Social Engineering-Taktiken und ungepatchte Software-Schwachstellen. Ihr Ziel: traditionelle Sicherheitsbarrieren wie die Zwei-Faktor-Authentifizierung (2FA) zu umgehen und in wertvolle Unternehmensnetze einzudringen. Die Angreifer fokussieren sich auf Führungsetagen und Finanzabteilungen, um sensible Daten zu stehlen oder Transaktionen zu manipulieren.
Angesichts der zunehmenden Angriffe auf Unternehmen und Führungskräfte wird die proaktive Absicherung der IT-Infrastruktur überlebenswichtig. Dieser kostenlose Report zeigt, wie Sie Sicherheitslücken schließen und Ihr Unternehmen ohne teure Investitionen vor aktuellen Cyberbedrohungen schützen. Gratis-E-Book: IT-Sicherheit für Unternehmen jetzt sichern
Gezielte Köder: Vom Helpdesk-Betrug zur Chef-Impersonation
Ein neuer, als UNC6783 bekannter Akteur, geht besonders trickreich vor. Die Gruppe nutzt Live-Chat-Plattformen, um Mitarbeiter auf gefälschte Login-Seiten zu locken. Ihr spezielles Phishing-Kit kann sogar die Zwei-Faktor-Authentifizierung aushebeln, indem es den Inhalt der Zwischenablage des Nutzers ausliest.
Hinter den Aktivitäten wird die Persona „Mr. Raccoon“ vermutet, die für einen umfangreichen Datendiebstahl mit Millionen Support-Tickets verantwortlich sein soll. Die Gruppe agiert professionell und stellt ihre Lösegeldforderungen über verschlüsselte E-Mail-Dienste.
Parallel dazu läuft eine weitere Kampagne, die seit heute, dem 10. April 2026, beobachtet wird. Hier geben sich Angreifer als Führungskräfte der Linux Foundation aus und zielen in Slack-Chats gezielt auf Open-Source-Entwickler ab. Der Trend ist klar: Das vermeintliche Vertrauen in Vorgesetzte wird missbraucht, um in sichere Entwicklungs- und Unternehmensumgebungen einzudringen.
KI-Turbo: Automatisierung macht Angriffe massenhaft und schwer abzuwehren
Die Angriffe erreichen durch den Einsatz von generativer KI und automatisierten Kits eine neue Dimension. Microsoft warnte bereits am 15. März vor einer großangelegten Phishing-Kampagne, die die Gerätecode-Authentifizierung ausnutzt. Diese Operation startet täglich 10 bis 15 einzigartige Kampagnen und trifft Hunderte Organisationen weltweit.
Die Angreifer nutzen ein KI-gesteuertes Phishing-Kit, ähnlich dem bekannten „EvilTokens“-Framework, um 2FA zu umgehen. Im Erfolgsfall konzentrieren sie sich auf Finanzabteilungen, um hochwertige Transaktionen zu stören oder umzuleiten. Die Automatisierung erlaubt es den Tätern, ihre Infrastruktur blitzschnell neu aufzubauen – eine Taktik, die auch in einem aktuellen Bericht von Lumen beschrieben wird.
Zudem taucht mit „STX RAT“ eine neue Schadsoftware auf, die seit Februar 2026 den Finanzsektor ins Visier nimmt. Die Malware nutzt mehrstufige Skripte und arbeitet direkt im Arbeitsspeicher, um Virenscanner zu umgehen. Sie ermöglicht versteckten Fernzugriff und kann Daten aus Browsern und Krypto-Wallets stehlen.
Cyberkriminelle setzen immer häufiger auf psychologische Manipulation wie den sogenannten CEO-Fraud, um selbst erfahrene Mitarbeiter zu täuschen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die 4 entscheidenden Schritte zur Hacker-Abwehr erfolgreich in Ihrem Unternehmen umsetzen. Kostenlosen Anti-Phishing-Leitfaden herunterladen
Zero-Day-Lücken: Software-Schwachstellen als Einfallstor
Neben Phishing nutzen Angreifer auch lang bekannte Schwachstellen in Bürosoftware, um lukrative Ziele auszuspähen. Seit dem 7. April 2026 dokumentieren Forscher eine aktive Zero-Day-Schwachstelle in Adobe Reader, die mindestens seit November 2025 ausgenutzt wird.
Bösartige PDF-Dokumente mit verschleiertem JavaScript „fingerabdrucken“ das System des Opfers. Sie sammeln Daten wie Betriebssystem, Spracheinstellungen und Dateipfade, die an Server der Angreifer gesendet werden. Diese Informationen dienen zur Identifizierung spezifischer Ziele für folgende, noch gefährlichere Attacken. Dokumente aus dem Jahr 2025 enthielten Inhalte zum russischen Öl- und Gassektor – ein Hinweis auf industrielle Spionage.
Ebenfalls besorgniserregend: Am 2. April 2026 veröffentlichte ein Forscher namens „Chaotic Eclipse“ den Windows-Exploit „BlueHammer“ auf GitHub. Dieser nutzt eine Zeitlücke (Race Condition) in Windows Defender Updates für weitreichende Rechteausweitung. Viele Sicherheitsanbieter erkannten den öffentlich zugänglichen Exploit nicht sofort – ein gefährliches Versäumnis.
Kritische Infrastruktur im Visier: Von Energieversorgung bis Software-Lieferkette
Die Bedrohung geht weit über Konzernzentralen hinaus und erreicht kritische Infrastrukturen. Die US-Cybersicherheitsbehörde CISA warnte am 7. April dringend vor iranischen, staatlich verbundenen Hackern, die speicherprogrammierbare Steuerungen (SPS) angreifen.
Die Gruppe CyberAv3ngers nutzt eine Schwachstelle aus dem Jahr 2021, um internet-exponierte Geräte in Energie-, Wasser- und Regierungssektoren zu kompromittieren. Nach anfänglichen Website-Verunstaltungen 2023 setzt die Gruppe nun eigene Malware ein, um den Betriebsablauf zu stören. Allein in den USA wurden fast 3.900 gefährdete Geräte identifyziert, viele mit veralteter Software.
Auch die Software-Lieferkette ist betroffen. Am 31. März 2026 wurde ein Angriff auf beliebte Programmier-Pakete entdeckt, bei dem eine schädliche Abhängigkeit genutzt wurde, um Hintertüren bei Entwicklern zu platzieren. Dieser Angriff wird einer nordkoreanischen Bedrohungsgruppe zugeschrieben.
Marktanalyse: Warum die Angriffe so erfolgreich sind
Das erste Quartal 2026 zeigt eine deutliche Veränderung der Cybersicherheitslandschaft. Perimeter-Verteidigungen scheitern oft an Schwächen im Identitäts- und Zugangsmanagement. Ransomware-Betreiber setzen auf schnellere Angriffszyklen und zielen zunehmend auf Betriebsunterbrechungen, nicht nur auf Datenverschlüsselung.
Der Markt für Industrielle Steuerungssysteme (ICS), der auf über 220 Milliarden Euro geschätzt wird, ist besonders verwundbar. Eine globale Umfrage fand fast 180 internetzugängliche ICS-Geräte in kritischen Sektoren wie nationalen Bahnnetzen und Stromnetzen. Viele nutzen Protokolle ohne moderne Verschlüsselung – eine riesige Angriffsfläche für die aktuellen automatisierten Phishing-Dienste.
Ausblick: So müssen sich Unternehmen schützen
Angesichts der zunehmenden Verfügbarkeit von Phishing-as-a-Service-Plattformen empfehlen Experten einen wechsel zu politikgesteuertem Schutz und rigoroser Datenermittlung. Für Nutzer von Adobe Reader raten Forscher, Acrobat JavaScript zu deaktivieren, um das Risiko von Zero-Day-Angriffen zu mindern.
Behörden wie die NSA raten zudem Einzelpersonen und Unternehmen, Hardware wie Router regelmäßig neu zu starten, um nicht-persistente Malware aus dem Speicher zu löschen. Da staatliche Akteure und Erpresserbanden ihre KI-Fähigkeiten weiter verfeunern, schließt sich das Zeitfenster für manuelle Eingriffe. Unternehmen müssen ihre 2FA-Implementierungen härten und Mitarbeiter in Schlüsselpositionen gezielt für Social-Engineering-Taktiken sensibilisieren.
