ModeloRAT: Hacker kapern Microsoft Teams für firmenweite Angriffe

Die Hackergruppe KongTuke hat ihre Taktik radikal geändert: Statt gefälschter Browser-Warnungen kapert sie nun komplette Unternehmensdomänen über Microsoft Teams. Das Ziel sind die Zugangsdaten ganzer Firmennetzwerke.

Von Browser-Crashs zum Chat-Hijacking

Noch Anfang des Jahres setzten die Angreifer auf die sogenannten „CrashFix"- und „FileFix"-Techniken. Sie täuschten Browser-Abstürze oder Sicherheitswarnungen vor, um Opfer zur Ausführung schädlicher Befehle zu bewegen. Doch die Zeiten sind vorbei.

Die neue Angriffskette beginnt harmlos: Eine Nachricht auf Microsoft Teams. Die Täter nutzen entweder frisch erstellte oder gekaperte interne Accounts, geben sich als IT-Support aus und bitten dringend um Hilfe bei angeblichen technischen Problemen. Das Ziel: Das Opfer soll einen verschleierten PowerShell-Befehl ausführen.

Die rasanten technologischen Fortschritte bei Angriffen wie ModeloRAT verdeutlichen die Notwendigkeit einer proaktiven Sicherheitsstrategie für Firmen. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und sich gegen aktuelle Bedrohungen effektiv absichern können. IT-Sicherheit ohne teure Investitionen stärken

Dieser lädt ein ZIP-Archiv von Dropbox herunter und entpackt es im lokalen AppData-Ordner – einem Verzeichnis, das viele Sicherheitslösungen weniger streng überwachen. Im Archiv versteckt sich eine portable WinPython-Umgebung. Die Schadsoftware benötigt also kein vorinstalliertes Python auf dem Rechner des Opfers. Zwei Hauptskripte – collector.py und Pmanager.py – starten über den fensterlosen pythonw.exe-Interpreter und bleiben so weitgehend unsichtbar.

Technische Kette: Vom Dropbox-Payload zur Admin-Rechten

Die aktuelle Variante von ModeloRAT zeigt hohe technische Raffinesse. Sobald das Python-Payload aktiv ist, beginnt die Aufklärung: Mit Bordmitteln wie whoami, nltest und net use kartieren die Angreifer das lokale Netzwerk. Sie prüfen, ob der kompromittierte Rechner Teil einer wertvollen Unternehmensdomäne ist.

Dann kommt der entscheidende Schritt: Die Malware nutzt eine bekannte Kernel-Sicherheitslücke (CVE-2023-36036) aus, um SYSTEM-Rechte zu erlangen. Mit diesen Admin-Rechten installieren die Hacker eine gefälschte Sperrbildschirm-Komponente. Diese zeigt dem Nutzer eine täuschend echte Kopie des Windows-Login-Bildschirms. Gibt das Opfer sein Passwort ein, wird es abgegriffen und an einen fremden Kommando-Server gesendet.

Besonders tückisch: Die Kommunikation mit dem Steuerungsserver ist mit RC4 verschlüsselt, und die Server-Adressen werden regelmäßig gewechselt. Viele Sicherheitslösungen erkennen die aktuelle ModeloRAT-Variante nicht. Die Malware sichert sich über die Windows-Registrierungsdatenbank und geplante Tasks – sie überlebt selbst einen Neustart.

Der ShinyHunters-Zusammenhang

Die Welle der ModeloRAT-Angriffe fällt mit Veränderungen in der Infrastruktur anderer Cyberkrimineller zusammen. Am 13. Mai 2026 wurde die Domain der berüchtigten ShinyHunters-Gruppe (shinyhunte.rs) abgeschaltet. Zuvor hatte die Gruppe eine Reihe von Angriffen auf Bildungsplattformen durchgeführt.

Ob die Abschaltung auf behördliche Maßnahmen oder einen taktischen Rückzug zurückgeht, ist unklar. Klar ist jedoch: Der Trend zum Domain-Diebstahl und zur Übernahme ganzer Identitätsinfrastrukturen beschleunigt sich. Mit den durch die gefälschten Sperrbildschirme erbeuteten Admin-Zugangsdaten können die Angreifer Multi-Faktor-Authentifizierung umgehen und sich dauerhaft in den Verzeichnisdiensten des Unternehmens einnisten.

Outlook-Zero-Click und KI-gestützte Exploits

Die ModeloRAT-Kampagne ist nur ein Teil einer besonders turbulenten Woche für die Unternehmenssicherheit. Am 14. Mai 2026 wurde eine kritische Zero-Click-Lücke in Microsoft Outlook (CVE-2026-40361) bekannt. Sie erlaubt Code-Ausführung allein durch den Empfang einer speziell präparierten E-Mail – ohne dass der Nutzer etwas anklicken muss.

Gleichzeitig dokumentierte Googles Threat Intelligence Group den ersten dokumentierten Einsatz eines KI-gestützten Zero-Day-Exploits. Dieser zielte auf ein beliebtes Open-Source-Verwaltungstool und umging die Zwei-Faktor-Authentifizierung.

Hinzu kommen Notfall-Patches von Fortinet vom 12. Mai für kritische Lücken in FortiAuthenticator und FortiSandbox. Die Botschaft ist eindeutig: Sowohl Social Engineering als auch Zero-Day-Ausbeutung werden immer raffinierter. ModeloRAT vereint beides – es nutzt das Vertrauen in interne Chat-Plattformen, um tiefe Systemlücken auszubeuten.

Die Vertrauenslücke in Arbeitswerkzeugen

Der Erfolg der aktuellen Kampagne offenbart eine wachsende „Vertrauenslücke" in Unternehmenskommunikationsplattformen. Während E-Mail-Sicherheit immer besser wird, weichen Angreifer auf Microsoft Teams und Slack aus. Dort folgen Nutzer statistisch gesehen viel häufiger Anweisungen von vermeintlichen Kollegen.

Die Täter setzen auf „Living-off-the-Land"-Techniken: Sie nutzen legitime Windows-Bordmittel wie finger.exe für Payloads oder nslookup für DNS-basierte Befehle. So verschmelzen die Angriffe mit dem normalen Netzwerkverkehr.

Der Übergang zum Domain-Diebstahl über gefälschte Sperrbildschirme zeigt: Die KongTuke-Gruppe hat eine neue Reifegradstufe erreicht. Im Vordergrund steht nicht mehr die schnelle Ransomware-Infektion, sondern der langfristige Diebstahl von Identitäten. Das deutet auf Spionage oder großangelegte Datendiebstähle hin.

Da Hacker verstärkt psychologische Manipulation in Chat-Plattformen nutzen, wird die Sensibilisierung der Mitarbeiter zum entscheidenden Schutzfaktor. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie die aktuellen Methoden der Cyberkriminellen entlarven und Ihr Unternehmen wirksam absichern. Anti-Phishing-Paket für Unternehmen jetzt gratis sichern

Was Unternehmen jetzt tun müssen

Sicherheitsexperten empfehlen ab sofort strenge Kontrollen für externe Zugriffe in Microsoft Teams. Wer keinen externen Chat benötigt, sollte ihn deaktivieren lassen. Kommunikation von außerhalb des eigenen Mandanten sollte mit einem „Erhöhtes Risiko"-Label versehen werden.

Die anhaltende Ausbeutung der Kernel-Lücke CVE-2023-36036 zeigt: Auch ältere Sicherheitslücken müssen konsequent geschlossen werden. Unternehmen sollten ungewöhnliche Prozesse wie pythonw.exe sowie die Nutzung von Admin-Tools wie nltest oder whoami überwachen – sie sind oft die Vorboten eines Domain-Kompromittierung.

Die Sicherheitsbranche rechnet damit, dass die von KongTuke entwickelten Methoden im Laufe des Frühjahrs und Sommers 2026 von anderen Gruppen übernommen werden. Die Kombination aus KI-gestützten Exploits und der Übernahme vertrauenswürdiger Identitäten deutet darauf hin: Die nächste Phase der Cyber-Abwehr wird sich weniger auf das Blockieren von Dateien konzentrieren, sondern auf die Überprüfung der Authentizität interner Benutzeraktionen.

de | wissenschaft | 69349122 |