Statt Standard-Tools wie Rclone oder MegaSync setzen die Hacker nun auf eine selbst programmierte Anwendung namens „uploader_client.exe“. Die Umstellung macht die Erkennung durch Netzwerküberwachungssysteme deutlich schwieriger.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Technische Raffinesse: Fünf parallele Verbindungen pro Datei
Das neue Tool arbeitet mit bemerkenswerter Effizienz. Es baut pro Datei bis zu fünf parallele TCP-Verbindungen auf und rotiert diese nach jeweils 2.048 Megabyte. Dadurch verschwimmt der Datenabfluss im regulären Netzwerkverkehr.
Vor der eigentlichen Exfiltration bereiten die Angreifer das Zielsystem systematisch vor. Sie nutzen Mimikatz zum Diebstahl von Zugangsdaten und AnyDesk für den Fernzugriff. Besonders auffällig: Die gezielte Deaktivierung von Sicherheitsprogrammen durch Tools wie HRSword, PCHunter oder GMER – noch bevor die Verschlüsselung startet.
Die seit Ende 2022 aktive Gruppe Rhantus, die hinter Trigona steckt, hat ihre Taktik damit grundlegend geändert. Branchenberichte vom März 2026 bestätigen den strategischen Wandel.
Social Engineering: Wenn der IT-Helpdesk zum Angreifer wird
Parallel zur technischen Aufrüstung beobachten Analysten eine Zunahme komplexer Social-Engineering-Kampagnen. Die als UNC6692 identifizierte Gruppe nutzt seit Ende 2025 gezielt Microsoft Teams, um in Unternehmensnetzwerke einzudringen.
Die Angreifer imitieren den internen IT-Helpdesk. Sie überschütten Mitarbeiter mit Spam-Mails, gefolgt von Chat-Nachrichten, die auf gefälschte Support-Seiten führen. Dort laden die Opfer eine vermeintliche Reparatursoftware herunter – tatsächlich ist es das modulare Malware-Ökosystem „Snow“.
Besonders perfide: Die Angreifer nutzen keine klassischen Sicherheitslücken aus. Sie setzen stattdessen auf das Vertrauen der Nutzer in etablierte Kommunikationswerkzeuge. Die gestohlenen Daten exfiltrieren sie häufig über legitime Cloud-Infrastrukturen wie Amazon S3. Das macht die Unterscheidung von regulärem Datenverkehr nahezu unmöglich.
Morpheus-Spyware: Wenn das Handy plötzlich kein Netz mehr hat
Auch mobile Endgeräte geraten verstärkt ins Visier. Die Ende April 2026 entdeckte Morpheus-Spyware kombiniert technische Störung mit Täuschung. Die Infektionskette beginnt mit der absichtlichen Deaktivierung der mobilen Datenverbindung – gefolgt von einer SMS, die zur Installation eines vermeintlichen Android-Updates auffordert.
Einmal installiert, missbraucht die Software Barrierefreiheitsrechte. Sie täuscht biometrische Verifizierungen für die Kopplung von WhatsApp-Konten vor. Code-Fragmente deuten laut Experten auf Verbindungen zu italienischen Cyber-Geheimdienst-Dienstleistern hin.
Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, da Millionen Android-Nutzer täglich Hackern schutzlos ausgeliefert sind. Dieser kostenlose Report zeigt Ihnen, wie Sie mit den richtigen Updates Datenverlust und Malware dauerhaft verhindern. Kostenlosen Android-Sicherheits-Report herunterladen
Apple reagierte im April mit mehreren Notfall-Updates. iOS 26.4.2 schloss die Schwachstelle CVE-2026-28950. Der Fehler im Benachrichtigungsdienst führte dazu, dass Vorschauen gelöschter Signal-Nachrichten in einer Systemdatenbank verblieben. Das FBI konnte diese Daten in einem Strafverfahren in Texas erfolgreich wiederherstellen – selbst nach Deinstallation der App.
100 Länder haben jetzt Zugang zu kommerzieller Spyware
Die Professionalisierung von Gruppen wie Trigona findet in einem besorgniserregenden Umfeld statt. Ein Bericht des britischen National Cyber Security Centre vom April 2026 zeigt: Mittlerweile haben rund 100 Länder Zugang zu kommerzieller Spyware wie Pegasus oder Graphite. Im Vorjahr waren es noch 80 Staaten.
Die Ziele haben sich erweitert. Neben Regierungsbeamten stehen nun zunehmend Geschäftsleute und Banker im Fokus. Gleichzeitig steigt die Anzahl der Schwachstellen in Open-Source-Codebasen rasant – um 107 Prozent pro Codebasis.
Die EU-Kommission versucht gegenzusteuern: 180 Millionen Euro Investitionen sollen die europäische Cloud-Souveränität stärken und Abhängigkeiten von außereuropäischen Anbietern verringern.
Erfolge gegen Scattered Spider: 22 Jahre Haft drohen
Trotz der technischen Herausforderungen zeigt die Verfolgung von Cyberkriminellen erste Erfolge. Der mutmaßliche Anführer der Gruppe Scattered Spider, Tyler Robert Buchanan, bekannte sich im April 2026 des Drahtbetrugs und Identitätsdiebstahls schuldig. Die Gruppe erbeutete durch SMS-Phishing und SIM-Swapping Kryptowährungen im Wert von mindestens 8 Millionen US-Dollar. Das Urteil für den 21. August 2026 könnte eine Haftstrafe von bis zu 22 Jahren nach sich ziehen.
Für die kommenden Monate erwarten Analysten eine weitere Zunahme KI-gestützter Angriffe. Erste Studien zeigen: KI-generierte Phishing-Nachrichten erzielen deutlich höhere Klickraten als herkömmliche Vorlagen. Unternehmen müssen daher verstärkt auf verhaltensbasierte KI-Sicherheitslösungen setzen.
Die Empfehlungen der Experten bleiben eindeutig: Regelmäßige Updates, Deaktivierung sensibler Funktionen wie Nachrichtenvorschauen – und vor allem: Schulung der Mitarbeiter im Umgang mit vertrauenswürdigen Kommunikationskanälen.
