Phishing-Explosion: Device-Code-Angriffe um 1.380% gestiegen
25.06.2026 - 10:07:01 | boerse-global.de
Eine koordinierte Aktion von Microsofts Digital Crimes Unit und Europol hat die Infrastruktur zweier gefährlicher Schadsoftware-Netzwerke zerschlagen. Betroffen sind die seit 2023 aktive Schadsoftware StealC und der Amadey-Loader, der bereits seit 2018 im Umlauf ist. Die Operation richtete sich gegen über 200 Kommando- und Kontrollserver sowie IP-Adressen.
Deutscher Beitrag zur internationalen Großrazzia
Die Strafverfolgungsbehörden stützten sich bei dem Vorgehen auf den US-amerikanischen RICO Act, ein Gesetz gegen organisierte Kriminalität. Neben dem deutschen Bundeskriminalamt waren auch Polizeibehörden aus den Niederlanden und Dänemark sowie mehrere private Sicherheitsfirmen beteiligt. Allein in der ersten Maiwoche 2026 waren die beiden Schadsoftware-Familien für die Infektion von mehr als 140.000 Computern verantwortlich. Um das weitverzweigte Servernetzwerk zu identifizieren, setzte Microsoft KI-gestützte Analysetools ein, die Schadsoftware-Binärdateien untersuchten und die Infrastruktur der mutmaßlich russischen Gruppen kartierten.
KI-gesteuerte Phishing-Plattformen treiben Angriffswelle an
Die Bedrohungslage hat sich im ersten Halbjahr 2026 dramatisch verschärft. Zwischen Januar und April stieg die Zahl der sogenannten Device-Code-Phishing-Angriffe um 1.380 Prozent im Vergleich zum zweiten Halbjahr 2025. Hauptverantwortlich ist die Plattform „EvilTokens“ – ein Phishing-as-a-Service-Angebot, das große Sprachmodelle wie GPT-4o mini und Llama nutzt, um automatisierte Business-E-Mail-Compromise-Kampagnen durchzuführen.
Die Kosten für den Zugang zu EvilTokens liegen zwischen 600 und 1.500 Euro. Abonnenten erhalten damit Werkzeuge, die Multi-Faktor-Authentifizierung umgehen und für jedes Opfer personalisierte Köder generieren können. Nach dem Eindringen nutzen die Angreifer häufig Microsoft Graph, um interne Netzwerke zu kartieren und gezielt Führungskräfte oder Finanzabteilungen ins Visier zu nehmen. Sie legen zudem schädliche Postfachregeln an, um langfristigen Zugriff zu behalten.
Spezialisierte Hintertüren bedrohen Unternehmen
Seit April 2026 verbreitet eine als KongTuke oder Woodgnat bekannte Gruppe eine heimliche Hintertür namens „Mistic“. Die Schadsoftware wird über gefälschte Microsoft-Teams-Benachrichtigungen ausgeliefert, die Opfer dazu verleiten, Fernwartungssoftware zu installieren. Mistic nutzt DLL-Seitenladetechniken und kann Code direkt im Arbeitsspeicher ausführen – eine effektive Methode, um der Erkennung zu entgehen. Sicherheitsforscher vermuten, dass KongTuke als sogenannter Initial Access Broker agiert und kompromittierte Zugangsdaten an große Erpresserbanden weiterverkauft – zu Preisen zwischen zwei und über 100 Euro pro Datensatz.
Lieferketten-Angriff trifft Passwort-Manager
Device-Code-Phishing-Angriffe sind um 1.380% gestiegen – die Plattform EvilTokens umgeht MFA und nutzt KI für personalisierte Köder. Mit dem kostenlosen Risiko-Check erkennen Sie Schwachstellen in Ihrer Umgebung und erhalten konkrete Gegenmaßnahmen. Risiko-Check per E-Mail anfordern
Auch Lieferketten-Schwachstellen bleiben eine ernste Bedrohung. Am 12. Juni 2026 musste der Passwort-Manager LastPass einräumen, dass Kundendaten durch einen Einbruch bei einem Dienstleister namens Klue offengelegt wurden. Die Angreifer nutzten gestohlene OAuth-Tokens, um auf eine Salesforce-Umgebung von LastPass zuzugreifen. Während die eigentlichen Passwort-Tresore der Kunden sicher blieben, gelangten Namen, Telefonnummern, E-Mail-Adressen und Support-Details in falsche Hände. Die Erpressergruppe Icarus hat sich zu dem Vorfall bekannt.
Gesundheitsdaten von 1,4 Millionen Menschen betroffen
Der Gesundheitssektor bleibt ein bevorzugtes Ziel. Bereits Ende Januar 2026 traf ein Phishing-Angriff die KI-Firma Xsolis, die im Gesundheitswesen tätig ist. Fast 1,4 Millionen Menschen waren betroffen. Die Angreifer erbeuteten Dateien mit Namen, Sozialversicherungsnummern und medizinischen Informationen. Xsolis bietet den Betroffenen zwölf Monate Identitätsschutz an. Das US-Gesundheitsministerium prüft derzeit mögliche Verstöße gegen Datenschutzbestimmungen.
Tausende Firewalls mit frei zugänglichen Zugangsdaten
Ein besonders spektakulärer Fall betrifft die kritische Infrastruktur: Mitte Juni 2026 entdeckten Forscher einen offen zugänglichen Server mit gültigen Anmeldedaten für 73.932 Fortinet-Firewalls in über 21.000 Organisationen weltweit. Verantwortlich sein soll ein als „SantaAd“ bekannter Broker, der mit einem GPU-Cluster und einem KI-gestützten Penetration-Testing-Framework über eine Milliarde Zugangskombinationen gesammelt haben soll.
Betrug rund um GTA 6 und WM 2026
Wie sicher ist Ihr Unternehmen vor den neuen Phishing-Wellen? Der kostenlose Risiko-Check zeigt Ihnen, ob Ihre Systeme gegen Device-Code-Angriffe, MFA-Umgehung und Lieferketten-Risiken gewappnet sind. Jetzt Risiko-Check anfordern
Cyberkriminelle nutzen auch aktuelle Großereignisse aus. Mit dem Start der offiziellen Vorbestellungen für Grand Theft Auto 6 am heutigen Donnerstag sind zahlreiche betrügerische Webseiten aufgetaucht, die angeblichen Frühzugang anbieten. Die Seiten nutzen KI-generierte Bilder und verlangen 250 Euro in Kryptowährung.
Auch die Fußball-Weltmeisterschaft 2026 lockt Betrüger an. Auf spanischsprachigen Webseiten und per E-Mail werden „exklusive“ Analysen angeboten – mit dem Ziel, persönliche Daten und Finanzinformationen zu stehlen. Sicherheitsexperten empfehlen Unternehmen und Privatpersonen, Multi-Faktor-Authentifizierung zu priorisieren und Verwaltungsschnittstellen nicht über das öffentliche Internet erreichbar zu machen.
