Cyberkriminelle setzen auf neue Taktiken: Statt verdächtiger Links nutzen sie täuschend echte HTML-Dateien, um Zugangsdaten zu stehlen und gefährliche Schadsoftware zu verbreiten. Die aktuelle Angriffswelle trifft vor allem Unternehmen in Deutschland und Osteuropa – mit alarmierender Präzision.

Sicherheitsforscher schlagen Alarm: Eine neue Generation von Phishing-Angriffen hebelt traditionelle E-Mail-Schutzmaßnahmen systematisch aus. Die Angreifer verstecken ihre Fallen in harmlos wirkenden HTML-Anhängen, die gängige Sicherheits-Gateways unbemerkt passieren. Parallel dazu verbreiten staatlich unterstützte Hackergruppen weiterhin gefährliche Fernwartungs-Trojaner und Keylogger. Was bedeutet diese Entwicklung für deutsche Unternehmen?

Deutschland im Fadenkreuz der Angreifer

Besonders brisant: Die aktuelle Kampagne konzentriert sich gezielt auf Mittel- und Osteuropa. Deutschland gehört neben Tschechien, der Slowakei und Ungarn zu den Hauptzielen. Die Angreifer tarnen ihre E-Mails als Anfragen von Adobe oder Microsoft – komplett mit gefälschten Angebotsanforderungen und anderen vertrauenswürdigen Geschäftsdokumenten.

Die Masche funktioniert erschreckend simpel: Statt auf externe Links zu setzen, betten die Cyberkriminellen die komplette Phishing-Seite direkt in HTML-Dateien ein. Öffnet das Opfer den Anhang, rendert der Browser die gefälschte Login-Seite lokal auf dem Gerät. E-Mail-Filter, die normalerweise verdächtige URLs blockieren würden, greifen hier nicht.

Telegram als digitaler Briefkasten für gestohlene Daten

Die technische Raffinesse überrascht selbst Experten: Eingebettetes JavaScript erfasst die eingegebenen Zugangsdaten und leitet sie direkt an Telegram-Bots weiter. Das Cybersecurity-Unternehmen Cyble beobachtet diese Entwicklung mit Sorge. Die Nutzung des Messenger-Dienstes ist clever gewählt – der Datenverkehr zu Telegram wirkt im Netzwerk völlig unauffällig und lässt sich kaum von legitimer Kommunikation unterscheiden.

Die dezentrale Struktur des Bot-Netzwerks und die präzise regionale Ausrichtung deuten auf professionell organisierte Angreifer hin. Besonders betroffen sind lokale Unternehmen, Distributoren und sogar Behörden. Zielen die Kriminellen bewusst auf vermeintliche Schwachstellen in der osteuropäischen Cybersecurity-Infrastruktur?

Fernsteuerungs-Trojaner: Die unsichtbare Gefahr

Während HTML-Phishing Zugangsdaten abgreift, verfolgen andere Angreifer langfristigere Ziele. Die aus Nordkorea stammende Hackergruppe Konni APT nutzt Spear-Phishing-E-Mails, um den gefährlichen Lilith-RAT zu verbreiten. Einmal installiert, erlaubt dieser Trojaner die vollständige Fernsteuerung infizierter Rechner.

Die Konsequenzen sind dramatisch: Angreifer können Webcams aktivieren, Daten abgreifen und monatelang unentdeckt im System bleiben. Klassische Antivirenprogramme schlagen oft nicht an. In einer aktuellen Kampagne tarnten sich die Konni-Hacker als psychologische Berater und Menschenrechtsaktivisten. Die getarnten „Stressbewältigungsprogramme" entpuppten sich als hochgefährliche Schadsoftware.

Missbrauch vertrauenswürdiger Plattformen explodiert

Ein aktueller Bericht von KnowBe4 zeichnet ein besorgniserregendes Bild: Die missbräuchliche Nutzung legitimer Geschäftsplattformen wie QuickBooks, Zoom und SharePoint durch Angreifer ist 2025 um 67 Prozent gestiegen. Noch alarmierender: Voice-Phishing-Angriffe haben um 449 Prozent zugenommen – zunehmend mit KI-generierten Stimmen.

Die Strategie dahinter ist perfide: Indem Kriminelle vertrauenswürdige Domains nutzen, passieren ihre E-Mails problemlos Authentifizierungsprotokolle. Sicherheitssysteme stufen sie als legitim ein. Das schwächste Glied bleibt der Mensch – und sein Vertrauen in bekannte Marken.

Wettrüsten der Cybersecurity verschärft sich

Der Schwenk zu eigenständigen HTML-Anhängen markiert eine Zäsur. Angreifer meiden zunehmend leicht erkennbare Methoden und setzen auf Techniken, die das Vertrauen in vertraute Dateiformate ausnutzen. Die Telegram-Exfiltration zeigt exemplarisch, wie Cyberkriminelle legitime Infrastruktur kapern, um ihre Spuren zu verwischen.

Für Sicherheitsteams wird die Lage komplexer: Sie müssen verdächtige Muster in ansonsten normalem Netzwerkverkehr erkennen. Die geografische Konzentration auf Mittel- und Osteuropa deutet zudem auf strategisch geplante, geheimdienstähnliche Operationen hin – weit entfernt von wahllosem Spam.

Verteidigung der Zukunft: Technik trifft Mensch

Was kommt als Nächstes? Experten erwarten noch personalisiertere und schwerer zu durchschauende Angriffe. KI-gestützte Tools werden Phishing-Köder noch überzeugender machen. Traditionelle Perimeter-Verteidigung reicht längst nicht mehr aus.

Unternehmen benötigen fortschrittliche E-Mail-Security-Lösungen, die Anhänge – insbesondere HTML-Dateien – in Sandboxes analysieren, bevor sie den Posteingang erreichen. Endpoint Detection and Response (EDR) Systeme sind unverzichtbar, um verdächtige Aktivitäten zu identifizieren, die auf installierte Trojaner oder Keylogger hindeuten.

Doch die beste Technologie nützt wenig ohne aufmerksame Mitarbeiter. Kontinuierliche Schulungen und die konsequente Durchsetzung von Mehr-Faktor-Authentifizierung (MFA) bleiben die wirksamsten Waffen gegen Credential-Diebstahl. Die kommenden Monate erfordern eine ganzheitliche Sicherheitsstrategie: fortschrittliche Technik kombiniert mit einem gut informierten menschlichen Schutzwall.