Sicherheitsforscher haben eine hochgradig persistente Phishing-Operation identifiziert, die seit mindestens vier Jahren unentdeckt blieb. Die unter dem Namen „Operation HookedWing“ bekannte Kampagne zielte gezielt auf kritische Sektoren wie Luftfahrt und Energieversorgung ab. Mit einer raffinierten Kombination aus legitimen Hosting-Diensten und dynamischen Schadcodes gelang es den Hintermännern, sensible Zugangsdaten von hunderten Organisationen weltweit zu entwenden.
Mehr als 500 Organisationen sind laut dem Sicherheitsunternehmen SOCRadar betroffen. Die Entdeckung wirft ein Schlaglicht auf die wachsende Professionalisierung von Akteuren, die nicht auf kurzfristige Gewinne, sondern auf langfristige Spionage setzen.
Angesichts solch ausgefeilter Methoden stehen Unternehmen zunehmend im Visier professioneller Hacker. In diesem kostenlosen E-Book erfahren Sie, wie Sie moderne Cyber-Bedrohungen frühzeitig erkennen und Ihre IT-Infrastruktur ohne großes Budget effektiv schützen können. Gratis-E-Book: Cyber-Security-Bedrohungen abwenden
Ein vierjähriges Phantom
Die Operation blieb über Jahre unter dem Radar, weil sie auf eine gezielte und technisch unauffällige Infrastruktur setzte. Erst durch umfassende Untersuchungen der SOCRadar-Forschungsteams konnten die Zusammenhänge zwischen scheinbar isolierten Phishing-Angriffen hergestellt werden.
In diesem Zeitraum wurden mehr als 2.000 individuelle Mitarbeiter-Datensätze kompromittiert. Das ermöglicht den Angreifern potenziell weitreichenden Zugriff auf interne Netzwerke.
Im Gegensatz zu großflächigen Spam-Wellen agierten die Hintermänner mit bemerkenswerter Konstanz. Sie rotierten ihre Infrastruktur regelmäßig, um automatisierte Sicherheitsscanner zu umgehen. Trotzdem wiesen die Forscher einheitliche Muster in den Angriffswerkzeugen nach.
Technische Raffinesse: Zweischichtige Architektur
Der Erfolg von HookedWing basierte auf einer zweischichtigen Architektur. Die erste Ebene nutzte legitime statische Hosting-Plattformen wie github.io, Vercel oder on-fleek.app. Durch diese vertrauenswürdigen Domänen umgingen die Angreifer viele herkömmliche Webfilter.
Die Opfer wurden über Phishing-E-Mails auf diese Seiten gelockt – getarnt als Mitteilungen der Personalabteilung, Microsoft-Outlook-Benachrichtigungen oder Google-Drive-Freigaben.
Die zweite Ebene bildeten Command-and-Control-Server (C2). Die technische Besonderheit: Ein maßgeschneidertes Phishing-Kit injizierte dynamisch PHP-Code von einem der über 20 identifizierten C2-Server. Das schädliche Verhalten wird erst zur Laufzeit im Browser des Nutzers sichtbar – das erschwert die forensische Analyse erheblich.
Das Kit erfasste neben Passwörtern auch Geolokationsdaten und Geräteinformationen.
Geografische Schwerpunkte und betroffene Sektoren
Ein deutlicher Schwerpunkt der Angriffe lag auf der Luftfahrtindustrie – betroffen waren Fluggesellschaften, zivile Luftfahrtbehörden und Bodenabfertigungsdienste. Auch der Energiesektor, die öffentliche Verwaltung und Logistikunternehmen standen im Visier.
Geografisch konzentrierte sich die Kampagne auf West- und Ostafrika, den Persischen Golf sowie Süd- und Südostasien. Das deutet auf ein besonderes Interesse an Handels- und Energieverbindungen zwischen diesen Regionen hin.
Eine eindeutige Zuordnung zu einem staatlichen oder kriminellen Akteur gelang nicht. Die Forscher betonten jedoch: Die Komplexität und die über Jahre aufrechterhaltene Infrastruktur deuten auf eine ressourcenstarke Organisation hin.
Mobile Endgeräte als Einfallstor
Obwohl die Kampagne primär auf Unternehmenszugänge abzielt, rückt sie die Sicherheit mobiler Endgeräte in den Fokus. Mitarbeiter greifen zunehmend von unterwegs auf Firmendaten zu – mobile Browser werden zum bevorzugten Einfallstor.
Die visuelle Prüfung von URLs ist auf kleineren Displays erschwert. Das erhöht die Wahrscheinlichkeit, dass Nutzer auf manipulierte Links klicken.
Da immer mehr sensible Unternehmensdaten über mobile Endgeräte abgerufen werden, stellen diese ein ideales Ziel für Phishing-Attacken dar. Dieser kostenlose Ratgeber zeigt Ihnen in 4 einfachen Schritten, wie Sie Ihr Unternehmen effektiv gegen Hacker-Angriffe und Manipulationstaktiken absichern. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Kontext der Bedrohungslage
Die Entdeckung illustriert einen Trend: die Verschmelzung von klassischem Phishing mit fortgeschrittener Infrastruktur-Verschleierung. Mehr als 100 Distributionsdomänen über vier Jahre unterstreichen die Ausdauer der Angreifer.
Durch die Nutzung von Cloud-Hosting-Diensten minimieren die Täter ihr eigenes Risiko – sie betreiben keine eigene Hardware, die beschlagnahmt oder zurückverfolgt werden könnte.
Branchenexperten sehen in der Kampagne einen Beleg dafür, dass herkömmliche Sicherheitsschulungen allein nicht mehr ausreichen. Die Phishing-Seiten übernehmen legitime Sicherheitsmerkmale der missbrauchten Hosting-Plattformen – sie sind selbst für geschulte Augen kaum von echten Anmeldeseiten zu unterscheiden.
Schutzmaßnahmen und Ausblick
Sicherheitsteams müssen ihre Detektionsmechanismen anpassen. Da die Angreifer dynamische Inhalte nutzen, müssen Web-Gateways den Datenverkehr in Echtzeit analysieren – statische Listen bekannter bösartiger Domänen reichen nicht mehr aus.
Die Überwachung ungewöhnlicher Zugriffe auf Hosting-Dienste wie github.io aus Unternehmensnetzwerken könnte ein erster Indikator für eine laufende Kompromittierung sein.
Für die betroffenen Sektoren bedeutet die Entdeckung eine notwendige Neubewertung ihrer externen Angriffsflächen. Identity-Intelligence-Lösungen, die den Missbrauch von Zugangsdaten im Dark Web frühzeitig erkennen, werden empfohlen.
Da die Hintermänner weiterhin aktiv sein könnten, bleibt die kontinuierliche Beobachtung der Bedrohungslage essenziell. Die Enttarnung dieser Kampagne ist ein Erfolg für die Cybersicherheits-Community – verdeutlicht aber, wie tiefgreifend moderne Spionageoperationen im digitalen Raum agieren.
