Google warnt: UNC6692 kapert Microsoft Teams für Spionage

Google-Experten schlagen Alarm.

Seit Dezember 2025 setzt die Hackergruppe UNC6692 auf eine perfide Taktik: Statt technische Lücken auszunutzen, täuschen die Angreifer den IT-Support vor. Über Microsoft Teams kontaktieren sie hochrangige Mitarbeiter, geben sich als Helfer aus und schleusen so Schadsoftware in Unternehmensnetze ein. Die Google Threat Intelligence Group (GTIG) hat die Kampagne nun detailliert analysiert – und warnt vor einer wachsenden Gefahr für die deutsche Wirtschaft.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam vor psychologischen Manipulationstaktiken wie CEO-Fraud schützen kann. Anti-Phishing-Paket jetzt gratis herunterladen

So funktioniert der Angriff mit der „Snow“-Malware

Die Attacke beginnt mit einer Flut automatisierter E-Mails. Hunderte Nachrichten überschwemmen das Postfach des Opfers – ein gezielter „E-Mail-Bombardement“, der Chaos und Verunsicherung stiftet. Genau in diesem Moment meldet sich ein vermeintlicher IT-Mitarbeiter per Teams und bietet Hilfe an. Der angebliche „Mailbox-Reparatur-Dienst“ oder ein „dringendes Sicherheits-Update“ entpuppt sich jedoch als Einstiegspunkt für die Schadsoftware-Suite „Snow“.

Diese besteht aus drei Komponenten:

• SnowBelt: Eine Browser-Erweiterung auf Chromium-Basis, die dauerhaften Zugriff auf die Web-Umgebung des Nutzers ermöglicht.
• SnowGlaze: Ein WebSocket-Tunnel, der eine verdeckte Kommunikation mit den Steuerungsservern der Hacker aufrechterhält.
• SnowBasin: Eine Python-basierte Hintertür, die den Angreifern tiefen Zugriff auf das infizierte System gewährt.

Um die Kontrolle auszuweiten, setzen die Hacker zudem auf eine doppelte Passwortabfrage auf gefälschten Login-Seiten. So erbeuten sie gleich mehrere Zugangsdaten und können sich quer durch das Unternehmensnetz bewegen. Zur Verschleierung ihrer Spuren nutzen sie legitime Cloud-Dienste wie AWS und Heroku.

Gezielte Jagd auf Führungskräfte in Industrie und Dienstleistung

Die Gruppe geht äußerst selektiv vor. Zwischen dem 1. März und dem 1. April 2026 konzentrierte sich eine Angriffswelle fast ausschließlich auf Vorstände und leitende Angestellte in der Fertigungs- und Dienstleistungsbranche. Rund 77 Prozent der Opfer bekleideten Führungspositionen – ein klares Zeichen für die strategische Ausrichtung.

Das Ziel: die Active-Directory-Datenbank, genauer gesagt die Datei NTDS.dit. Sie enthält sämtliche Benutzerdaten und Zugangsberechtigungen eines Netzwerks. Wer sie in Händen hält, hat die Schlüssel zum gesamten Unternehmen. Zum Abtransport der gestohlenen Daten nutzt UNC6692 Werkzeuge wie FTK Imager und LimeWire, die finalen Exfiltration erfolgt oft über AWS-S3-Buckets.

Trotz gewisser Ähnlichkeiten zu anderen Gruppen sehen die Google-Ermittler keine Verbindung zu bekannten Akteuren wie ShinyHunters oder Scattered Spider. UNC6692 agiere eigenständig und setze auf präzise Sozialtechnik statt auf breit gestreute Ransomware-Attacken.

Wenn der Feind im Vertrauten lauert

Die Kampagne fällt in eine Zeit erhöhter Anfälligkeit. Erst am 27. April 2026 sorgte eine globale Störung von Microsoft Outlook für Chaos: Tausende Nutzer konnten sich nicht anmelden oder E-Mails synchronisieren. Der Fehler lag zwar in einer fehlerhaften Konfiguration, nicht in einem Angriff – doch solche Ausfälle sind ideale Gelegenheiten für Social Engineers. Wenn legitime Dienste versagen, sinkt die Skepsis gegenüber angeblichen Helfern.

Hinzu kommt: Am selben Tag warnte die französische Cybersicherheitsbehörde CERT-FR vor 25 Sicherheitslücken in verschiedenen Microsoft-Produkten. Während Unternehmen diese technischen Schwachstellen schließen, bleibt der Mensch die größte Schwachstelle.

Die schiere Größe moderner Unternehmens netze verschärft das Problem. Microsoft hat kürzlich seine größte Enterprise-Rollout von Copilot abgeschlossen: 743.000 Accenture-Mitarbeiter nutzen nun den KI-Assistenten. Zwar berichten 97 Prozent von schnellerer Erledigung ihrer Aufgaben – doch jede neue Plattform vergrößert auch die Angriffsfläche.

Analyse: Der teure Preis der Gutgläubigkeit

Der Trend zu plattformbasierter Sozialtechnik spiegelt eine Reifung der Cyberkriminalität wider. Laut dem At-Bay-Report 2026 gehen zwar 73 Prozent der Ransomware-Angriffe auf VPN-Lücken zurück – doch der psychologische Zugang über Teams ist heimtückischer. Der durchschnittliche Schaden für kleine und mittlere Unternehmen nach einem schwerwiegenden Vorfall liegt inzwischen bei rund 422.000 Euro.

Der Erfolg von UNC6692 zeigt: Herkömmliche Zwei-Faktor-Authentifizierung versagt, wenn Angreifer gezielt menschliche Schwächen ausnutzen. Das „E-Mail-Bombardement“ ermüdet das Opfer, die vermeintliche Hilfe über einen vertrauten Kanal wie Teams umgeht die natürliche Skepsis. Python-basierte Hintertüren und Browser-Erweiterungen erschweren zudem die Erkennung – sie tarnen sich als legitime Verwaltungsskripte.

Sicherheitsexperten sind sich einig: Je robuster die technischen Abwehrmaßnahmen werden, desto mehr rückt der Mensch in den Fokus der Angreifer. Der gezielte Diebstahl von Active-Directory-Daten zeigt, dass es den Hackern nicht um einzelne Rechner geht – sie wollen die „Schlüssel zum Königreich“.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen ohne hohe Investitionen langfristig schützen. Gratis E-Book: Cyber Security Bedrohungen abwenden

Ausblick: Zero Trust für interne Kommunikation

Als Konsequenz aus der Kampagne fordern Sicherheitsexperten strengere Überprüfungsprozesse für interne Kommunikation. Kein IT-Support sollte mehr über Chat-Plattformen ohne bestätigte Rückfrage auf einem anderen Kanal erfolgen. Die Nutzung legitimer Cloud-Dienste für den Datendiebstahl erfordert zudem eine bessere Überwachung des ausgehenden Datenverkehrs zu Plattformen wie AWS und Heroku.

In den kommenden Monaten dürfte die Integration fortschrittlicher Identitätsschutzfunktionen in Kollaborationstools zur Priorität werden. Microsoft testet bereits neue Funktionen im Windows-11-Experimental-Channel – doch die eigentliche Herausforderung bleibt die Sicherheit der Kommunikationsebene selbst.

Die Zusammenarbeit zwischen Konkurrenten wie Google und Microsoft bei der Identifizierung solcher Bedrohungen ist ein wichtiger Schutzmechanismus. Doch solange Angreifer lernen, Autoritätspersonen zu imitieren, wird die Branche auf „Zero Trust“ setzen müssen: Jede interne Helpdesk-Anfrage wird dann mit derselben Skepsis behandelt wie ein externer Login-Versuch. Für die Fertigungs- und Dienstleistungsbranche bleibt die Lage angespannt – UNC6692 verfeinert seine Snow-Malware und seine gezielte Ansprache von Führungskräften weiter.

de | boerse | 69250206 |