Hacker kapern Microsoft Office – Behörden in EU und Ukraine im Visier.
Sicherheitsforscher haben eine massive Angriffswelle auf Regierungsnetzwerke in der Ukraine und mehreren EU-Staaten aufgedeckt. Die Kampagne stammt von der berüchtigten Gruppe UAC-0001, auch bekannt als APT28 – einer russischen Hackergruppe, die bereits für zahlreiche Cyberangriffe auf westliche Institutionen verantwortlich ist.
Angriffe auf Microsoft-Dienste zeigen, wie verwundbar klassische Passwörter geworden sind. Dieser kostenlose Ratgeber erklärt, wie Sie Ihre Konten bei Microsoft, Amazon und Co. mit der neuen Passkey-Technologie unknackbar machen. Sicher, bequem und passwortlos: Jetzt Gratis-Report sichern
Wie die Angreifer vorgehen
Die Hacker nutzen gezielt eine Sicherheitslücke in Microsoft Office aus (CVE-2026-21509). Der Angriff beginnt mit manipulierten Word-Dokumenten, die per E-Mail versendet werden. Öffnet ein Mitarbeiter die Datei, verschaffen sich die Angreifer über WebDAV- und COM-Hijacking-Techniken Zugang zum System.
Besonders perfide: Für die Steuerung der Attacken nutzen die Hacker die Cloud-Plattform Filen als Kommandozentrale. Das COVENANT-Framework ermöglicht ihnen anschließend, Daten aus den infiltrierten Netzwerken abzusaugen. Die Sicherheitslücke war bereits am 26. Januar 2026 bekannt geworden – dennoch blieben viele Systeme ungepatcht.
Diplomatische Zielscheibe Europa
Die Angriffe auf Microsoft Office sind nur die Spitze des Eisbergs. Gleich mehrere Hackergruppen haben derzeit europäische Diplomaten im Visier:
Die chinesische Gruppe UNC6384 nutzt eine Windows-Sicherheitslücke, um den Schädling PlugX auf Systemen diplomatischer Vertretungen in Ungarn und Belgien zu platzieren. Die Tarnung: Einladungen zu diplomatischen Konferenzen.
Die russische Gruppe APT29 setzt auf eine andere Masche: Sie verschickt gefälschte Einladungen zu Weinproben, angeblich von Außenministerien. Hinter den scheinbar harmlosen Nachrichten verbirgt sich die Hintertür WINELOADER.
Da Hacker gezielt psychologische Schwachstellen und gefälschte E-Mails nutzen, um in Netzwerke einzudringen, ist proaktiver Schutz für Unternehmen unerlässlich. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die Manipulationstaktiken der Angreifer entlarven und Ihre IT-Sicherheit in 4 Schritten stärken. Kostenlosen Leitfaden zur Hacker-Abwehr jetzt herunterladen
Die Gruppe TA416 hat ihre Spionagekampagnen gegen EU- und NATO-Diplomaten wieder aufgenommen. Sie nutzt gefälschte Cloudflare-Seiten und manipulierte OAuth-Weiterleitungen, um Schadcode einzuschleusen.
Ukraine unter Dauerbeschuss
Besonders hart trifft es die Ukraine: Die staatlich gesteuerte Gruppe Gamaredon nutzt eine Sicherheitslücke im Packprogramm WinRAR, um die Datendiebe GammaWorm und GammaSteel zu verbreiten. Diese stehlen sensible Dokumente und leiten sie auf Amazon-S3-Server oder direkt auf Angreifer-Rechner um.
Microsoft-Ökosystem unter Druck
Die Office-Attacken sind Teil einer Serie von Sicherheitsvorfällen, die Microsofts Plattformen erschüttern. Erst am 5. Juni 2026 kompromittierte der Miasma-Wurm 73 GitHub-Repositories von Microsoft – darunter Code für Azure und offizielle Microsoft-Dokumentationen. Der Wurm nutzte gestohlene Zugangsdaten, um bösartige Konfigurationsdateien einzuschleusen, die in KI-Entwicklungstools wie VS Code und Claude Code Passwörter abgriffen. Immerhin: GitHub stoppte die Attacke innerhalb von 105 Sekunden.
Neue Erpresserbande im Anmarsch
Parallel dazu hat die Erpressergruppe „Pink“ ihre Aktivitäten aufgenommen. Seit dem 31. Mai betreibt die Bande eine eigene Daten-Leak-Seite. Ihre Methode: Telefonischer Identitätsdiebstahl. Die Hacker geben sich als IT-Mitarbeiter aus, um Multi-Faktor-Authentifizierung zu umgehen und Daten aus OneDrive und SharePoint zu stehlen.
Die US-Behörde für Cybersicherheit CISA hat bereits reagiert und eine Sicherheitslücke in SolarWinds Serv-U in ihren Katalog bekannter Schwachstellen aufgenommen. Bundesbehörden müssen den Fehler bis zum 19. Juni 2026 schließen.
