Die Täter geben sich als IT-Support aus und übernehmen die Kontrolle über Firmennetzwerke.
Die neue Bedrohung: UNC6692 und die SNOW-Malware
Eine bisher unbekannte Hackergruppe namens UNC6692 treibt die aktuellen Angriffswellen an. Wie der Google-Tochter Mandiant am 23. April 2026 berichtete, kombiniert die Gruppe Massen-Spam mit direkten Teams-Nachrichten. Der Ablauf ist perfide: Zunächst fluten die Angreifer das E-Mail-Postfach eines Mitarbeiters mit tausenden Spam-Nachrichten. Minuten später meldet sich dann angeblich der interne IT-Support per Teams-Chat – und bietet Hilfe an.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Gratis-Ratgeber zur Cyber-Security jetzt herunterladen
Das Ziel: Der Mitarbeiter soll eine Chat-Anfrage von einem externen Konto akzeptieren. Gelingt das, überreden die Täter ihr Opfer zur Installation legitimer Fernwartungstools wie Microsofts Quick Assist oder Supremo Remote Desktop. Diese Programme lösen keine klassischen Virenscanner aus.
Ist der Fernzugriff erst hergestellt, installiert die Gruppe ihre eigene Schadsoftware namens SNOW. Das Paket enthält mehrere Komponenten: Die Erweiterung SNOWBELT lädt weitere Schaddateien herunter, dazu kommen SNOWGLAZE und SNOWBASIN. Besonders trickreich: Ein sogenanntes „Gatekeeper-Skript“ prüft, ob das Opfer den Microsoft Edge-Browser nutzt. Ist das nicht der Fall, erscheint eine hartnäckige Warnung, die den Nutzer zum Wechsel drängt.
Gezielte Jagd auf Führungskräfte
Die Angreifer zielen immer präziser auf die oberen Etagen der Unternehmen. Laut Daten des Sicherheitsdienstleisters ReliaQuest vom 23. April 2026 waren zwischen dem 1. März und 1. April 77 Prozent aller Teams-Angriffe gegen Führungskräfte und leitende Angestellte gerichtet. Zum Vergleich: In den ersten beiden Monaten des Jahres lag dieser Anteil noch bei 59 Prozent.
Das Tempo der Kampagnen hat ebenfalls zugenommen. ReliaQuest-Forscher beobachtften Fälle, in denen neue Chat-Anfragen im Abstand von nur 29 Sekunden verschickt wurden – eine Taktik, die Druck auf die Opfer ausübt. Der Fokus auf Führungskräfte ist strategisch: Sie haben höhere Zugriffsrechte und ermöglichen den Angreifern größere Bewegungsfreiheit im Firmennetzwerk.
Microsoft selbst beschrieb am 22. April eine neunstufige Angriffskette. Sie beginnt mit einer höflichen Anfrage, die das Misstrauen des Opfers senken soll – etwa mit Betreffzeilen wie „Microsoft-Sicherheitsupdate“ oder „Kontoverifizierung“. Sobald der Angreifer Fuß gefasst hat, kommuniziert er über Port 443 (HTTPS) mit seiner Kommandozentrale. Der Datenverkehr tarnt sich so als normale, verschlüsselte Webaktivität.
PhantomBackdoor: Wenn der Angreifer live mitarbeitet
Doch die Angreifer werden noch raffinierter. Cato Networks berichtet von einer neuen Masche: Voice-Phishing direkt über Teams-Meetings. Die Täter führen ihre Opfer dabei live durch die Ausführung eines manipulierten PowerShell-Skripts, das einen WebSocket-Trojaner namens PhantomBackdoor installiert.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam in 4 Schritten gegen Cyberkriminalität schützen kann. Anti-Phishing-Paket kostenlos anfordern
Diese Methode zeigt einen klaren Trend: Statt auf statische Links oder Anhänge zu setzen, steuern die Angreifer den Infektionsprozess in Echtzeit. Der PhantomBackdoor nutzt WebSocket-Protokolle, um eine dauerhafte Verbindung zum Angreifer-Server aufrechtzuerhalten – und umgeht dabei viele klassische Firewall-Schutzmechanismen. Ähnliche Fälle gab es bereits im Frühjahr mit dem Schädling A0Backdoor, der ebenfalls über Quick Assist verbreitet wurde.
Der Zeitpunkt dieser Angriffswelle ist kein Zufall. Im April 2026 veröffentlichte Microsoft das zweitgrößte monatliche Sicherheitsupdate seiner Geschichte – insgesamt 165 Schwachstellen wurden geschlossen. Darunter war auch CVE-2026-32201, ein SharePoint-Fehler, der bereits aktiv ausgenutzt wird. Bereits Anfang des Jahres hatte Microsoft mit CVE-2026-21535 eine kritische Lücke im Teams-Clouddienst geschlossen, die ohne Benutzerinteraktion Daten preisgab.
Warum Teams zum neuen Einfallstor wird
Der Wechsel von E-Mail zu Kollaborationsplattformen wie Teams verändert das Phishing-Modell grundlegend. Während klassische Phishing-Mails auf Aufmerksamkeit abzielen, verlangt der neue Ansatz aktive Mitarbeit des Opfers. Da Kommunikation in Teams in Echtzeit und in einem als vertrauenswürdig wahrgenommenen internen Raum stattfindet, sinken die psychologischen Hürden für die Opfer deutlich.
Ein wichtiges Werkzeug für die Angreifer ist TeamsPhisher, ein ursprünglich für Sicherheitstests entwickeltes Python-Programm. Es erlaubt externen Nutzern, Datei-Beschränkungen zu umgehen, indem es eine Schwachstelle in der plattformübergreifenden Kommunikation ausnutzt. Microsoft hat zwar Sicherheitsverbesserungen eingeführt, doch Gruppen wie Storm-1674 und die inzwischen aufgelösten Black-Basta-Ableger nutzen solche Tools weiterhin zur Verbreitung von DarkGate-Malware und Ransomware.
Fünf Schutzmaßnahmen für Unternehmen
Sicherheitsexperten empfehlen Unternehmen dringend, ihre Abwehrstrategien anzupassen:
- Verifizierte Helpdesk-Prozesse: Kein Mitarbeiter sollte Fernzugriff gewähren, ohne eine zweite Authentifizierungsstufe durchlaufen zu haben.
- PowerShell-Härtung: Überwachen Sie unbefugte Ausführungen von Fernwartungstools wie Quick Assist und AnyDesk.
- Externe Kommunikation beschränken: Externe Domains sollten nur nach vorheriger Freigabe Chat-Anfragen initiieren können.
- Phishing-resistente MFA: Setzen Sie auf FIDO2-Passkeys statt klassischer Zwei-Faktor-Authentifizierung.
- Schulung für Führungskräfte: Trainieren Sie besonders gefährdete Mitarbeiter, raffinierte Identitätsdiebstahl-Versuche in Echtzeit zu erkennen.
Ausblick: Der Kampf um die Kollaborationsplattformen
Die Angriffswelle über Microsoft Teams wird sich so schnell nicht legen. Der Erfolg von Gruppen wie UNC6692 zeigt: Kriminelle werden ihre Taktiken der „geführten Ausführung“ weiter verfeiner. Statt leicht erkennbarer Malware-Anhänge setzen sie zunehmend auf den Missbrauch legitimer Verwaltungstools. Mit fast 80 Prozent der aktuellen Angriffe auf Führungskräfte verschiebt sich der Fokus der Unternehmenssicherheit: Der Schutz interner Kommunikationskanäle und die Schulung risikoreicher Mitarbeiter stehen ganz oben auf der Agenda. Die jüngsten Sicherheitsupdates und die Entdeckung spezialisierter Malware wie der SNOW-Suite machen deutlich: Kollaborationsplattformen bleiben das Schlachtfeld der Unternehmenssicherheit – und das auf absehbare Zeit.
