Forscher decken eine hochgefährliche Malware-as-a-Service-Plattform auf, die sich als professionelle Fernwartungssoftware ausgibt. Die Entdeckung zeigt einen alarmierenden Trend: Cyberkriminelle missbrauchen zunehmend vertrauenswürdige Unternehmenssoftware für ihre Angriffe.
Das als „TrustConnect“ getarnte Angebot ist ein vollwertiges Remote Access Trojan (RAT)-System. Es wird Kriminellen als Abonnementdienst für rund 300 Euro pro Monat angeboten. Die Plattform senkt die Einstiegshürde für komplexe Cyberangriffe erheblich und demokratisiert so die Cyberkriminalität.
Das perfide Geschäftsmodell der Schadsoftware
Die Betreiber inszenierten eine aufwendige Fassade. Eine professionelle Website, vermutlich KI-generiert, präsentierte das Produkt als seriöses IT-Management-Tool. Die Tarnung war so überzeugend, dass die Kriminellen ein Extended Validation (EV) Code-Signing-Zertifikat erwerben konnten. Dieses digitale Gütesiegel lässt bösartige Dateien für Betriebssysteme vertrauenswürdig erscheinen.
Für ihr Monatsabo erhalten Kunden Zugang zu einem Web-Dashboard. Von dort aus können sie kompromittierte Geräte steuern, Befehle ausführen und Dateien transferieren. Ein zentrales Werkzeug ist der automatisierte Payload-Generator. Er erstellt maßgeschneiderte Malware-Installer, die bekannte Anwendungen wie Microsoft Teams, Zoom oder Adobe Reader imitieren.
So gelingt der Angriff auf Unternehmen
Die Hauptverbreitungsmethode sind gezielte Phishing-E-Mails. Die Nachrichten geben sich als DocuSign-Benachrichtigungen, Steuerdokumente oder Projektangebote aus. Klickt ein Opfer auf den Link, wird der TrustConnect-Agent installiert und verbindet sich mit dem Server der Angreifer.
Phishing-Kampagnen und MaaS-Angebote wie TrustConnect zeigen, wie schnell Angreifer in Firmennetzwerke eindringen können. Wer seine IT-Risiken kompakt verstehen und mit praktikablen Schutzmaßnahmen gegen Phishing & Co. reagieren möchte, findet in einem kostenlosen E‑Book praxisnahe Empfehlungen, Checklisten und Sofortmaßnahmen für Unternehmen und IT-Verantwortliche. Jetzt kostenlosen Cyber-Security-Guide herunterladen
Ist ein System erst einmal infiziert, beobachten die Forscher einen cleveren zweiten Schritt: Die Kriminellen installieren legitime Fernwartungstools wie ScreenConnect. Diese erlauben eine direkte, „Hands-on-Keyboard“-Fernsteuerung. Die genutzten Versionen verwenden oft abgelaufene Zertifikate, was auf illegale Kopien hindeutet. Diese Mischung aus bösartiger und legaler Software erschwert die Erkennung enorm.
Kurzer Erfolg: Das Katz-und-Maus-Spiel geht weiter
Der Sicherheitsbranche gelang Anfang Februar 2026 ein Schlag gegen TrustConnect. Das betrügerische EV-Zertifikat wurde am 6. Februar widerrufen, der Hauptserver um den 17. Februar abgeschaltet. Doch der Erfolg war nur von kurzer Dauer.
Die Betreiber zeigten sich äußerst resilient. Sie wechselten umgehend auf parallele Infrastrukturen und testen bereits eine neu aufgelegte Version der Plattform unter dem Namen „DocConnect“. Diese schnelle Anpassungsfähigkeit unterstreicht die anhaltende Bedrohung durch das MaaS-Modell.
Hinter TrustConnect vermuten Forscher von Proofpoint einen erfahrenen Cyberkriminellen, der bereits mit dem berüchtigten Redline Stealer in Verbindung gebracht wurde. Dies deutet auf eine Evolution der Szene hin: Von der Nutzung von Malware entwickeln sich Akteure hin zu deren Vermarktung als komplettes Service-Paket. Für Unternehmen bedeutet dies, dass die Zahl potenzieller Angreifer weiter steigt.
