Sicherheitsforscher und Bundesbehörden haben eine ausgeklügelte Serie von Cyberangriffen auf Microsoft-365-Nutzer identifiziert. Im Zentrum steht die Manipulation von Passkey-Registrierungsprozessen – eine Methode, die selbst mehrstufige Authentifizierung aushebeln kann.
Seit April 2026 ist eine als O-UNC-066 bekannte Bedrohungsgruppe aktiv, die auch unter den Namen Pink oder CL-CRI-1147 geführt wird. Die Täter setzen auf eine spezielle Form des Voice-Phishings – sogenanntes Vishing –, um sich dauerhaften Zugang zu Unternehmensnetzwerken zu verschaffen.
Wie die Angreifer die Entra-Passkey-Registrierung kapern
Die von Analysten bei Okta und Unit 42 identifizierte Kampagne folgt einem perfiden Muster: Die Angreifer rufen ihre Opfer an und geben sich als IT-Support-Mitarbeiter aus. Während des Gesprächs lotsen sie die Nutzer auf eine gefälschte Registrierungsseite, die täuschend echt aussieht wie die offizielle Microsoft-Entra-Passkey-Oberfläche. Oft ist diese Seite sogar mit dem Branding des angegriffenen Unternehmens versehen – ein Detail, das die Glaubwürdigkeit enorm steigert.
Das technische Rückgrat dieser Operation ist ein manuell gesteuertes PHP-basiertes Phishing-Kit. Anders als automatisierte Systeme wird dieses Kit von einem menschlichen Operator in Echtzeit bedient. Das erlaubt es, flexibel auf verschiedene Multi-Faktor-Authentifizierungs-Herausforderungen (MFA) zu reagieren, die während des Anmeldeprozesses auftauchen. Das Ziel: Nicht nur Zugangsdaten stehlen, sondern einen vom Angreifer kontrollierten FIDO2-Sicherheitsschlüssel im Konto des Opfers registrieren. Diese Methode verschafft den Tätern eine dauerhafte und legitim wirkende Authentifizierungsmöglichkeit, die klassische Sicherheitsmaßnahmen umgeht.
Sechs Branchen im Visier – Daten als Druckmittel
Die Vishing-Angriffe konzentrieren sich auf sechs spezifische Sektoren: Technologie, Gesundheitswesen, Automobilindustrie, Bauwesen, Luftfahrt sowie die Lebensmittel- und Getränkeindustrie. Berichten zufolge geht es den Angreifern vor allem um Geld – genauer gesagt um Datenerpressung. Sobald sie Zugang haben, exfiltrieren sie die Daten innerhalb von nur 72 Stunden.
Der Bericht verdeutlicht, dass Cyberkriminelle gezielt die Unsicherheit bei neuen Technologien wie Passkeys ausnutzen, um Unternehmen zu infiltrieren. In diesem kostenlosen Report erfahren Sie, wie die Technologie hinter Passkeys eigentlich funktioniert und wie Sie sie bei Diensten wie Microsoft rechtssicher und manipulationsgeschützt einrichten. Was steckt hinter Passkeys? Jetzt kostenlosen Report sichern
Die Gruppe Pink, die einige Forscher mit dem Netzwerk The Com in Verbindung bringen, betreibt seit dem 31. Mai 2026 eine eigene Daten-Leak-Seite. Dort setzen sie ihre Opfer unter Druck: Zahlen sie kein Lösegeld, droht die Veröffentlichung gestohlener Unternehmensdaten.
FBI warnt vor Token-Diebstahl und Routing-Lücken
Parallel zu den Vishing-Angriffen hat das FBI vor einer separaten Phishing-Plattform namens Kali365 gewarnt. Auch sie ist seit April 2026 aktiv und wird auf Telegram gegen monatliche oder jährliche Abonnementgebühren vermarktet. Kali365 ermöglicht den Diebstahl von OAuth-Tokens, indem Nutzer dazu gebracht werden, Gerätecodes auf legitimen Microsoft-Verifizierungsseiten einzugeben. So können Angreifer Sitzungen übernehmen, ohne MFA direkt umgehen zu müssen.
Zudem hat Microsoft Unternehmen auf eine Zunahme von Angriffen aufmerksam gemacht, die Fehlkonfigurationen im E-Mail-Routing ausnutzen. Dieser Trend ist seit Mai 2025 zu beobachten. Die Angreifer fälschen interne E-Mails, um betrügerische Rechnungen zu versenden. Besonders erfolgreich sind diese Attacken, wenn die MX-Einträge eines Unternehmens nicht direkt auf Office 365 verweisen – dann können bestimmte Sicherheitsfilter umgangen werden.
Da Angreifer immer häufiger psychologische Tricks wie Vishing und gefälschte Support-Anrufe nutzen, wird die menschliche Firewall zum entscheidenden Sicherheitsfaktor. Das kostenlose Anti-Phishing-Paket enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv vor solchen Zugriffen schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Infrastruktur und laterale Bewegungen
Die Infrastruktur für diese Angriffe wird oft Monate im Voraus aufgebaut. So wurden kürzlich Phishing-Domains identifiziert, die bereits im Februar 2026 registriert worden waren. Einige Angreifer nutzen auch .ics-Kalendereinladungen, um schädliche Inhalte zu verbreiten. Diese Dateien werden von Standard-Sicherheitsgateways oft nicht auf eingebettete Bilder oder QR-Codes überprüft.
Doch die Gefahr endet nicht beim Account-Hijacking. Auch Schwachstellen in Diensten wie Microsoft SharePoint werden ausgenutzt, um sich lateral durch Netzwerke zu bewegen. Bei aktuellen Scans von über 8.000 SharePoint-Servern entdeckten Sicherheitsteams Dutzende kompromittierte Systeme. In mehreren Fällen versuchten Angreifer, kurz nach Bekanntwerden der Sicherheitslücken, Maschinenschlüssel zu stehlen und Ransomware zu installieren.
Schutzmaßnahmen für Unternehmen
Um diesen Bedrohungen zu begegnen, empfehlen Sicherheitsexperten und Bundesbehörden:
- Strenge DMARC- und SPF-Richtlinien durchsetzen
- Mitarbeiter gezielt über die Risiken von Passkey-Registrierungen schulen
- Ungewöhnliche Nutzung von Administratortools und Änderungen an Kontoberechtigungen sorgfältig überwachen

