Sicherheitsforscher haben eine ausgeklügelte Phishing-Kampagne entdeckt, die gezielt europäische Content Creator ins Visier nimmt. Die Angreifer nutzen täuschend echte Urheberrechtsvorwürfe, um Schadsoftware zu verbreiten.
Gefälschte Abmahnungen als Einfallstor
Die am heutigen Dienstag entdeckte Kampagne setzt auf perfide Sozialmanipulation: Die Täter verschicken personalisierte E-Mails mit angeblichen Urheberrechtsverletzungen. Öffnen die Empfänger die beigefügten Dokumente, installiert sich unbemerkt der Rhadamanthys-Infostealer. Diese Schadsoftware stiehlt Passwörter, Zugangsdaten und andere sensible Informationen.
Anzeige: Die aktuelle Phishing-Welle trifft gezielt Creator mit gefälschten Abmahnungen. Wer seine Accounts schützen will, findet in diesem Leitfaden eine Checkliste zur Erkennung von Fake-Vorwürfen, Sicherheitstipps für Social-Media-Profile und einen Notfallplan für den Ernstfall. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
Besonders perfide: Die Hacker nutzen die DLL-Ladefunktion gängiger PDF-Reader aus, um den Schadcode auszuführen. Die infizierten Dateien verteilen sie über legitime Plattformen wie Dropbox, Discord und Mediafire. Zwar sind zunächst unabhängige Freelancer und Creator die direkten Opfer, doch das eigentliche Ziel der Angreifer sind oft die Unternehmensnetzwerke, an die diese Accounts angeschlossen sind.
Prominente Accounts im Visier
Die aktuelle Kampagne reiht sich in eine Serie von Cyberangriffen auf Personen mit großer Online-Reichweite ein. Bereits im April dieses Jahres berichteten mehrere OnlyFans-Creator über den Verlust ihrer X-Accounts (ehemals Twitter) durch Phishing.
Ein besonders krasser Fall: Ein Creator mit 132.000 Followern verlor seinen Account nach einem Klick auf einen Phishing-Link. Die Erpresser forderten zunächst 2.000 Euro in GAT-Token, später erhöhten sie die Summe auf 3.000 Euro. Als die Opfer nicht zahlten, nutzten die Angreifer die gekaperten Profile zur Verbreitung politischer Propaganda. Betroffen waren unter anderem die Creator Fabian Quezada und Liam Angell, die Anzeige beim FBI erstatteten.
Schlag gegen Cybercrime-Infrastruktur
Die zunehmenden Angriffe auf Creator fallen zeitlich mit einem internationalen Schlag gegen organisierte Cyberkriminalität zusammen. Erst gestern, am 15. Juni 2026, verkündeten das FBI und Google die Zerschlagung von „Outsider Enterprise“ – einer in China ansässigen „Phishing-as-a-Service“-Plattform.
Die seit 2023 aktive Gruppe soll Schäden in Höhe von umgerechnet rund 1,7 Milliarden Euro verursacht haben. Die Ermittler gehen davon aus, dass die Täter künstliche Intelligenz – darunter Googles Gemini-KI – nutzten, um 9.000 betrügerische Websites und rund eine Million gefälschte Domains zu erstellen. Dabei erbeuteten sie 3,87 Millionen Kreditkartendatensätze. Bei der als „Operation Riptide“ bekannten Aktion beschlagnahmten die Behörden Kryptowährungen im Wert von rund 90.000 Euro und legten die digitale Infrastruktur der Gruppe lahm.
Anzeige: Hacker nutzen Dropbox und Discord, um Schadsoftware zu verbreiten – oft getarnt als harmlose PDFs. Erfahren Sie, wie Sie infizierte Dateien erkennen und Ihre Geräte schützen. Der Leitfaden zeigt die aktuellen Angriffswege und gibt konkrete Schutzmaßnahmen. Schutz vor Phishing-Downloads jetzt sichern
Europäische Institutionen unter Druck
Nicht nur einzelne Creator sind betroffen – auch europäische Institutionen geraten zunehmend ins Visier von Hackern. Die Erpressergruppe ShinyHunters behauptet, den Europarat gehackt und 297 Gigabyte Daten gestohlen zu haben. Nach Angaben der Gruppe sollen darin Personal- und Gehaltsdaten von über 10.000 Mitarbeitern enthalten sein – einige davon bis ins Jahr 2011 zurückreichend. Auch 14.000 Lebensläufe sowie sensible medizinische und Bankdaten sollen sich unter dem gestohlenen Material befinden. Der Europarat hat eine Untersuchung eingeleitet.
Parallel dazu warnen polnische Behörden vor anhaltenden Phishing-Aktionen der mit Belarus verbundenen Gruppe GhostWriter, auch bekannt als UNC1151. Seit März 2026 zielen die Angreifer auf private Gmail-Konten von Regierungsbeamten, Forschern und Journalisten ab. Ihr Ziel: Login-Daten und Zwei-Faktor-Authentifizierungscodes stehlen. Die Angriffe stehen häufig im Zusammenhang mit Desinformationskampagnen gegen die Region.
