Die Angreifer setzen dabei nicht auf technische Lücken, sondern auf menschliche Gutgläubigkeit.
Da Cyberkriminelle immer häufiger psychologische Taktiken einsetzen, um Sicherheitsbarrieren zu umgehen, wird der Schutz der Mitarbeiter zur zentralen Verteidigungslinie. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie, wie Sie Ihr Unternehmen in vier Schritten wirksam gegen Identitätsdiebstahl absichern. Kostenlosen Phishing-Leitfaden für Unternehmen jetzt herunterladen
Seit Dezember 2025 ist die Gruppe UNC6692 aktiv – und sie hat eine perfide Methode perfektioniert. Statt Software-Schwachstellen auszunutzen, kapern die Hacker das Vertrauen in interne Kommunikationswege. Rund 77 Prozent der dokumentierten Angriffe zwischen März und April 2026 richteten sich gezielt gegen Vorstandsmitglieder und Führungskräfte. Das berichten Sicherheitsforscher in einem aktuellen Report vom 25. April.
So läuft der Angriff ab: E-Mail-Flut und falscher IT-Support
Die Masche beginnt mit einer aggressiven E-Mail-Bombardierung. Hunderte Nachrichten überschwemmen das Postfach des Opfers – so lange, bis es frustriert oder überfordert ist. Genau in diesem Moment schalten sich die Angreifer über Microsoft Teams ein. Sie geben sich als Mitarbeiter der internen IT-Hotline aus.
Der Trick: Die vermeintlichen Helfer bieten eine angebliche „Mailbox-Reparatur-Dienstprogramm v2.1.5“ an. Diese Anwendung ist auf legitimer Cloud-Infrastruktur gehostet – konkret auf Amazon Web Services (AWS). Das Opfer soll seine Zugangsdaten eingeben. Ein „Doppel-Eingabe-Trick“ sorgt dafür, dass selbst geänderte Passwörter erfasst werden. Kein einziger klassischer Software-Exploit kommt zum Einsatz. Die Angreifer setzen ausschließlich auf die Bereitschaft des Opfers, den Anweisungen eines vermeintlichen Kollegen zu folgen.
Die SNOW-Malware-Suite: Drei Komponenten, ein Ziel
Gelingt der Zugang, installieren die Hacker ihre maßgeschneiderte Schadsoftware namens SNOW. Das Paket besteht aus drei Modulen:
- SnowBelt: Eine bösartige Browser-Erweiterung, die Anmeldedaten und Authentifizierungstoken stiehlt.
- SnowGlaze: Ein WebSocket-Tunnel, der eine versteckte Kommunikation mit den Angreifern ermöglicht – oft unentdeckt, weil Firewalls diesen Traffic nicht prüfen.
- SnowBasin: Eine Hintertür, die dauerhaften Zugriff erlaubt und das Ausführen weiterer Befehle ermöglicht.
Die modulare Bauweise macht die Suite besonders gefährlich. Jede Komponente hinterlässt nur eine minimale Spur, sodass signaturbasierte Sicherheitssysteme kaum anschlagen.
Vom ersten Zugriff zur Übernahme des gesamten Netzwerks
Ist die Malware erst einmal platziert, beginnt die eigentliche Arbeit. Die Angreifer extrahieren Passwörter aus dem Systemspeicher (LSASS-Dump) und nutzen sie für „Pass-the-Hash“-Angriffe. Damit bewegen sie sich unerkannt durchs Netzwerk.
Das ultimative Ziel: die Kompromittierung der Active-Directory-Datenbank. In mehreren Fällen nutzten die Hacker das legitime Forensik-Tool FTK Imager, um die Datenbank für eine Offline-Analyse zu kopieren. Der Abtransport der gestohlenen Daten erfolgt über einen ungewöhnlichen Kanal: LimeWire, ein veralteter Filesharing-Dienst. Die Täter setzen darauf, dass dieser unerwartete Traffic von Sicherheitssystemen übersehen wird.
Der größere Trend: Identitätsdiebstahl wird zur Massenbedrohung
Die Kampagne von UNC6692 ist kein Einzelfall. Sie steht für einen grundlegenden Wandel in der Bedrohungslandschaft. Branchenzahlen aus 2026 zeigen: MFA-Ermüdungsangriffe (Multi-Faktor-Authentifizierung) sind im Jahresvergleich um 217 Prozent gestiegen. Teams-basierte Attacken legten um 41 Prozent zu, während Diebstahlversuche von Microsoft-365-Zugangsdaten um 139 Prozent explodierten.
Hinzu kommt der Einsatz Künstlicher Intelligenz. KI-gesteuerte Phishing-Kampagnen erzielten im ersten Quartal 2026 eine Klickrate von 68 Prozent – im Vergleich zu gerade einmal 12 Prozent bei traditionellen Methoden. Die schiere Menge neu entdeckter Schwachstellen wächst rasant: Die KI „Mythos“ von Anthropic identifizierte innerhalb von sieben Wochen über 2.000 bislang unbekannte Software-Lücken – das entspricht rund 30 Prozent der jährlichen VorkI-Ausbeute.
Angesichts der massiven Zunahme von gehackten Konten in Deutschland wird der Abschied vom klassischen Passwort immer dringlicher. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie die sichere Passkey-Technologie sofort bei Diensten wie Microsoft oder WhatsApp einrichten und so Phishing-Angriffe unmöglich machen. Passkey-Ratgeber kostenlos als PDF sichern
Ausblick: Verhaltenserkennung statt Firewall
Sicherheitsexperten fordern ein Umdenken. Klassische Perimeter-Verteidigung wird zunehmend wirkungslos, wenn Angreifer sich als vertrauenswürdige Mitarbeiter tarnen. Gefragt sind datenzentrierte Sicherheitsansätze und KI-gestützte Verhaltensanalyse. Bislang haben erst 28 Prozent der Unternehmen solche Systeme im Einsatz – dabei können sie die Kompromittierungsrate um bis zu 52 Prozent senken.
Das britische NCSC empfiehlt Unternehmen den Umstieg auf passwortlose Authentifizierung (Passkeys). Auch die indische Zentralbank schreibt ab April 2026 stärkere Multi-Faktor-Verfahren vor und verbietet SMS-basierte Einmalpasswörter. Für die Sicherheitsverantwortlichen in Unternehmen bedeutet das: Die Rolle des Chief Information Security Officer (CISO) wird sich weiterentwickeln müssen – hin zu mehr Aufsicht über KI-Sicherheit und die Verwaltung nicht-menschlicher Identitäten.
