Eine mit dem Iran in Verbindung stehende Hackergruppe hat eine hochentwickelte Spionagekampagne gestartet, die legitime Cloud-Infrastruktur von Microsoft Azure für ihre Zwecke missbraucht. Die als „Screening Serpens“ bekannte Gruppe zielt gezielt auf Fachkräfte in der Technologie-, Luftfahrt- und Verteidigungsbranche ab.
Tarnung durch vertrauenswürdige Cloud-Dienste
Die Angreifer nutzen Microsoft Azure-gehostete Domains, um ihre Schadsoftware zu verbreiten und gestohlene Daten abzutransportieren. Indem sie den bösartigen Datenverkehr mit legitimen Cloud-Kommunikationsströmen vermischen, umgehen sie herkömmliche Sicherheitsmaßnahmen. Die Gruppe setzt dabei auf eine Reihe ständig weiterentwickelter Schadprogramme, darunter die Fernzugriffs-Trojaner MiniUpdate und MiniJunk V2.
Der Missbrauch vertrauenswürdiger Cloud-Dienste zeigt, wie raffiniert Cyberkriminelle heute vorgehen, um herkömmliche Sicherheitsbarrieren zu umgehen. In diesem kostenlosen E-Book erfahren Sie, wie Sie neue Bedrohungen frühzeitig erkennen und Ihr Unternehmen auch ohne riesiges Budget wirksam absichern. IT-Sicherheit stärken und Sicherheitslücken schließen
Der Angriff beginnt mit gezielten Spear-Phishing-Nachrichten. Die Hacker verschicken gefälschte Stellenausschreibungen namhafter Fluggesellschaften oder täuschende Meeting-Einladungen. Sobald ein Opfer hereinfällt, installiert die Gruppe den MiniUpdate-Trojaner, der sich in legitime Anwendungen einschleust und dabei die Windows-Ereignisüberwachung deaktiviert.
Technische Tricks zur Umgehung der Sicherheit
MiniJunk V2 geht noch einen Schritt weiter: Die Datei wird auf etwa 12 Megabyte aufgebläht, um automatisierte Analysesysteme auszutricksen, die große Dateien oft überspringen. Besonders raffiniert: Der Trojaner enthält eine Datenprüfungs-Funktion, die ihn bis zu einem bestimmten Aktivierungszeitpunkt am 27. März 2026 inaktiv hält. So entgeht er frühen Sicherheitsscans.
Die Gruppe hat zudem ihre Methoden diversifiziert. Über manipulierte Suchergebnisse locken die Hacker Opfer auf eine gefälschte SQL-Entwickler-Website, die einen neuen Schädling namens MiniFast ausliefert. Dieser tarnt sich als normaler Chrome-Browserverkehr und ist kaum von harmlosem Surfverhalten zu unterscheiden.
Da Angriffe wie „Screening Serpens“ gezielt auf psychologische Manipulation und Spear-Phishing setzen, ist die Sensibilisierung der Mitarbeiter der wichtigste Schutzfaktor. Das kostenlose Anti-Phishing-Paket liefert Ihnen eine fundierte Analyse aktueller Hacker-Methoden und zeigt Ihnen in 4 Schritten den Weg zur erfolgreichen Abwehr. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Geopolitische Hintergründe
Die Kampagne eskalierte nach dem 28. Februar 2026 deutlich – zeitgleich mit zunehmenden Spannungen im Nahen Osten. Sicherheitsexperten sehen darin einen klaren Zusammenhang: Die digitalen Spionageaktivitäten sollen strategische Informationen für iranische Interessen in Zeiten militärischer Konflikte liefern.
Bedrohung für die globale Entwickler-Community
Parallel zur Screening-Serpens-Kampagne entdeckten Sicherheitsanalysten Ende Mai 2026 eine weitere Attacke namens „TrapDoor“. Diese zielt speziell auf Entwickler im Bereich Künstliche Intelligenz und Kryptowährungen ab. Über 34 schädliche Pakete und fast 400 Versionen wurden in den wichtigsten Software-Repositories wie npm, PyPI und Crates verteilt.
Die TrapDoor-Malware stiehlt Cloud-Zugangsdaten, GitHub-Tokens und API-Schlüssel. Besonders perfide: Sie greift KI-Programmierassistenten wie Claude und Cursor an, um sensible Daten aus Entwicklungsumgebungen zu stehlen.
Abwehrmaßnahmen der Industrie
Microsofts Digital Crimes Unit gelang es Anfang Mai 2026, ein Netzwerk zur Signierung von Schadsoftware namens „Fox Tempest“ zu zerschlagen. Dieses bot Malware-Signierung als Dienstleistung an und ermöglichte es Erpressungs-Trojanern, mit 72-Stunden-Zertifikaten Sicherheitswarnungen zu umgehen. Über 1.000 solcher Zertifikate wurden widerrufen.
GitHub hat als Reaktion auf die Bedrohungslage eine gestaffelte Veröffentlichung für npm-Pakete eingeführt. Neue Versionen benötigen nun eine manuelle Zwei-Faktor-Authentifizierung, um die schnelle Verbreitung schädlicher Updates zu verhindern.
Ausblick
Die ständige Weiterentwicklung der MiniUpdate- und MiniJunk-Trojaner zeigt, dass iranische Angreifer zunehmend auf Stealth-Techniken und die Ausnutzung vertrauenswürdiger Cloud-Umgebungen setzen. Experten erwarten eine verstärkte Fokussierung auf Lieferketten-Schwachstellen und den Missbrauch legitimer Cloud-Dienste wie Azure und Alibaba Cloud.
Unternehmen wird dringend empfohlen, die spezifischen Indikatoren für Kompromittierungen der Screening-Serpens-Kampagne zu überwachen und strenge Richtlinien für die Nutzung von Drittanbieter-Software und Cloud-Anwendungen durchzusetzen.
