Sicherheitsexperten von Arctic Wolf Labs haben eine neue Eskalationsstufe in den Aktivitäten der russischen Hackergruppe RomCom dokumentiert. Das Kollektiv nutzt erstmals die weitreichende Infrastruktur des SocGholish-Netzwerks, um spezialisierte Schadsoftware in Netzwerken von US-Unternehmen mit Ukraine-Bezug zu platzieren.
CEO-Fraud und manipulierte Software-Updates sind nur die Spitze des Eisbergs bei aktuellen Cyberangriffen auf Unternehmen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt einsetzen und wie Firmen sich effektiv schützen können. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Neue Allianz im Cyber-Spionagesektor
Die Untersuchungen zeigen eine Kooperation zwischen zwei etablierten Akteuren der Bedrohungslandschaft. SocGholish ist seit Langem für die massenhafte Infektion von Websites und die Verteilung von Schadcode über fingierte Browser-Updates bekannt. RomCom gilt dagegen als spezialisierte Gruppe mit mutmaßlichen Verbindungen zum russischen Geheimdienst GRU, insbesondere zur Einheit 29155.
Ende 2025 identifizierten Analysten einen Angriff auf ein US-Unternehmen, das Unterstützungsleistungen für die Ukraine erbringt. Dabei fungierte SocGholish als Erstzugangsvektor. Über kompromittierte Webseiten wurden Nutzer zum Download vermeintlicher Software-Aktualisierungen verleitet.
Statt der erwarteten Updates führten sie jedoch einen JavaScript-basierten Loader aus. Dieser installierte schließlich den sogenannten Mythic Agent auf den Zielsystemen. Der Vorfall markiert den ersten dokumentierten Fall, in dem RomCom-Payloads über die SocGholish-Infrastruktur verbreitet wurden.
So läuft der Angriff ab
Die Angriffskette beginnt mit der Manipulation legitimer Websites. Besucher werden mit täuschend echten Aufforderungen konfrontiert, ihren Browser oder installierte Anwendungen zu aktualisieren. Der durchgeführte Angriff konnte laut Berichten durch spezialisierte Endpunkt-Verteidigungssysteme vereitelt werden – bevor die Angreifer Daten stehlen oder ihre Spionageaktivitäten vertiefen konnten.
Die Analyse der Indikatoren ergab spezifische IP-Adressen und Datei-Hashes, die direkt mit der RomCom-Infrastruktur korrespondieren. Experten betonen: Die Kombination aus der massenhaften Reichweite von SocGholish und den präzisen Spionagewerkzeugen von RomCom stellt eine erhebliche Bedrohung für Organisationen dar, die im geopolitischen Fokus Russlands stehen.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch professionelle Hackergruppen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und neue gesetzliche Anforderungen erfüllen. Gratis-E-Book zur Cyber Security jetzt herunterladen
KI und mobile Malware als neue Waffen
Der Vorfall reiht sich in eine Serie verstärkter Cyber-Aktivitäten ein. So dokumentierte WithSecure Labs die Aktivitäten der Gruppe GREYVIBE, die seit dem Spätsommer 2025 aktiv ist. Diese Gruppe setzt verstärkt auf Künstliche Intelligenz – darunter ChatGPT und Google Gemini – um Phishing-Kampagnen zu optimieren und bösartigen Code zu entwickeln.
Auch mobile Endgeräte rücken zunehmend ins Visier. GREYVIBE nutzt die Android-Spyware FallSpy, um Daten von Nutzern in der Ukraine abzugreifen. Die Angreifer synchronisieren ihre Taktiken zunehmend über verschiedene Plattformen hinweg.
Systematischer Technologiediebstahl in Europa
Europäische Geheimdienste aus Schweden, Estland und dem Vereinigten Königreich warnen vor einer Intensivierung der russischen Spionage gegen westliche Hochtechnologie. Ziel ist die systematische Umgehung von Sanktionen zur Unterstützung der russischen Kriegswirtschaft. Im Fokus stehen die Bereiche Rüstung, Raumfahrt, Quantentechnologie und spezialisierte Produktionsmaschinen.
Deutschland wird in diesen Berichten als eines der primären Ziele genannt. Die Angreifer nutzen ein Geflecht aus Scheinfirmen und Vermittlern, um Zugang zu kritischem Know-how zu erhalten. Auch die Gruppe Cavalry Werewolf wurde in diesem Zusammenhang aktiv. Sie griff zwischen Mai und August 2025 gezielt russische Staatsbehörden sowie Unternehmen der Energie- und Fertigungsbranche an – und gab sich dabei als kirgisische Regierungsbeamte aus, um Vertrauensverhältnisse auszunutzen.
