Update-Mechanismus eines Sicherheitsanbieters wurde zum Einfallstor für Schadsoftware. Der Vorfall löst einen heftigen Streit über das Ausmaß des Angriffs aus.
Ein schwerwiegender Cybersicherheitsvorfall erschüttert MicroWorld Technologies, den Hersteller der weit verbreiteten Antiviren-Software eScan. Das Unternehmen bestätigte, dass seine Update-Infrastruktur kompromittiert und zur Verteilung von Malware missbraucht wurde. Der Vorfall Ende Januar hat einen öffentlichen Konflikt zwischen dem Anbieter und Sicherheitsforschern über Umfang und Schwere des Angriffs ausgelöst.
Waffe aus dem Vertrauensvorschuss
Der Angriff vom 20. Januar 2026 ist ein klassischer Supply-Chain-Angriff. Bedrohungsakteure drangen in eScans Update-Server ein und ersetzten legitime Antiviren-Updates durch ein manipuliertes Paket. Dieses war digital signiert und umging so die üblichen Sicherheitsprüfungen auf den Rechnern der Kunden.
Laut einer Analyse des Sicherheitsunternehmens Morphisec installierte das schadhafte Update einen persistenten Downloader auf den betroffenen Systemen. Die Malware etablierte nicht nur eine Basis für weitere Infektionen, sondern schaltete gezielt die Verteidigungsfähigkeiten der Antiviren-Software aus. Sie manipulierte Registrierungseinstellungen und Konfigurationsdateien. Die Folge: Die infizierte Software konnte keine legitimen Updates oder Bereinigungspatches mehr empfangen.
Passend zum Thema Supply-Chain-Angriffe – viele Unternehmen unterschätzen, wie ein kompromittiertes Update ganze Netzwerke öffnen kann. Ein kostenloser Cyber‑Security‑Report zeigt praxisnah, wie Sie Update‑Infrastrukturen prüfen, verdächtige Paket‑Hashes erkennen, Command‑and‑Control‑Domains blocken und einen effektiven Incident‑Response‑Ablauf einrichten. Mit sofort umsetzbaren Checklisten für IT‑Verantwortliche und Handlungsempfehlungen für das Management. Jetzt kostenlosen Cyber‑Security‑Report herunterladen
Diese „Selbstsabotage“ erschwert die Wiederherstellung erheblich. Da infizierte Clients nicht mehr mit den Servern kommunizieren konnten, riet MicroWorld Technologies betroffenen Kunden zur manuellen Installation eines Bereinigungspatches – ein enormer Aufwand für Unternehmen mit vielen Endgeräten.
Zwei Wahrheiten: Streit über Umfang und Entdeckung
Während der Einbruch selbst feststeht, ist die Darstellung von Zeitraum und Auswirkungen heftig umstritten.
MicroWorld Technologies bestätigte den Zugriff auf einen einzelnen regionalen Update-Server. Das Unternehmen betont, die schadhafte Datei sei nur in einem Zeitfenster von etwa zwei Stunden am 20. Januar verfügbar gewesen und habe nur eine kleine Kundengruppe getroffen. Man habe die Anomalie noch am selben Tag durch interne Monitoring-Systeme entdeckt und sofort Gegenmaßnahmen eingeleitet.
Morphisec widerspricht dieser Darstellung fundamental. Die Sicherheitsfirma, die eine eigene technische Analyse veröffentlichte, beansprucht die eigenständige Entdeckung des Vorfalls. Ihre Forscher sprechen von einem kritischen Supply-Chain-Angriff mit globaler Reichweite, der weit mehr Unternehmens- und Privatkunden betroffen habe als vom Hersteller zugegeben. Zudem bestreiten sie, dass eScan den Angriff zuerst bemerkt habe.
Der Disput eskalierte vergangene Woche öffentlich. MicroWorld Technologies warf den Forschern vor, falsche technische Behauptungen zu verbreiten. Unabhängige Analysten merken jedoch an: Der notwendige manuelle Bereinigungsaufwand deutet auf eine schwerwiegende Störung hin – unabhängig von der genauen Opferzahl.
Angriffsmuster und Handlungsempfehlungen
Die Angriffsmethode trägt die Handschrift eines hochprofessionellen Akteurs. Der Angreifer nutzte das inhärente Vertrauen in den Sicherheitsanbieter schamlos aus.
Technische Details zeigen: Das Trojaner-Update legte unerwartete Zeitplanaufgaben an und manipulierte die Windows-Hosts-Datei, um die Kommunikation mit eScan-Domains zu blockieren. So konnte die kompromittierte Software keine Bereinigungsanweisungen vom Hersteller empfangen, nachdem dieser die Kontrolle über seine Server zurückerlangt hatte.
Experten raten allen eScan-Kunden zu einer gründlichen Überprüfung ihrer Systeme – auch wenn sie in dem genannten Zwei-Stunden-Fenster kein Update durchführten. Empfohlen werden:
* Prüfung auf spezifische Datei-Hashes der Updates vom 20. Januar.
* Verifizierung, dass die Antiviren-Software erfolgreich mit den Update-Servern kommuniziert.
* Blockade der in den Analysen identifizierten Command-and-Control-Domains (C2) im Netzwerk, um das Nachladen weiterer Schadpayloads zu verhindern.
Albtraum wiederholt sich
Für eScan ist es bereits der zweite Vorfall dieser Art in kurzer Zeit. Bereits 2024 nutzte die „GuptiMiner“-Kampagne eine Schwachstelle im Update-Mechanismus des Unternehmens, um Krypto-Miner und Backdoors zu verteilen. Einige Forscher vermuteten damals nordkoreanische Hintermänner.
Die Wiederholung des gleichen Angriffsvektors nährt bei Cybersicherheitsexperten die Sorge um die Widerstandsfähigkeit von Software-Lieferketten – besonders bei Sicherheitsanbietern selbst. Werden deren Tools zum Einfallstor, ist die Wirkung oft verheerend: Sie laufen meist mit hohen Berechtigungen und werden von anderen Sicherheitsmaßnahmen gewöhnlich nicht behindert.
Folgen für die Branche
Während die unmittelbaren Bereinigungsarbeiten laufen, rückt die forensische Aufklärung in den Fokus: Wie gelangten die Angreifer initial auf den Update-Server? MicroWorld Technologies gibt an, die Infrastruktur neu aufgebaut und strengere Zugangskontrollen implementiert zu haben.
Der Vorfall dürfte die Forderungen nach strengeren Sicherheitsstandards für Update-Mechanismen neu entfachen. Im Gespräch sind separate Signaturschlüssel für verschiedene Regionen und Transparenz-Logs, um unbefugte Änderungen an Update-Paketen schneller zu erkennen.
Für Unternehmen mit eScan-Produkten bleibt zunächst die mühsame Aufgabe, die Integrität ihrer Installationen zu überprüfen. Die Branche beobachtet gespannt, ob weitere Details zur Identität der Angreifer bekannt werden. Die Professionalität der Malware spricht für eine gut ausgestattete, erfahrene Gruppe.
PS: Der Vorfall zeigt, wie wichtig Awareness und proaktive Maßnahmen sind – auch für mittelständische Unternehmen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, relevante Gesetzesänderungen und pragmatische Schutzmaßnahmen zusammen. Sie erhalten eine 4‑Schritte‑Checkliste zur Hacker‑Abwehr, branchenspezifische Handlungsempfehlungen und Maßnahmen, die sich ohne große Investitionen umsetzen lassen. Gratis E‑Book jetzt anfordern
