Die Gruppe Storm-2755 setzt bei ihrer Kampagne auf eine ausgefeilte Angriffsmethode, die das ganze Authentifizierungssystem aushebelt. Zunächst werden gefälschte Microsoft-365-Login-Seiten über Malvertising oder SEO-Poisoning ganz oben in Suchergebnissen platziert – Nutzer landen also unwissentlich auf gefälschten Seiten wie bluegraintours[.]com, die täuschend echt aussehen. Dort geben die Opfer ihre Anmeldedaten ein, die Hacker erbeuten aber nicht nur Benutzernamen und Passwörter, sondern auch die wertvollen Session-Cookies und OAuth-Access-Tokens.
Das ist der entscheidende Unterschied zu klassischem Phishing: Diese Tokens repräsentieren eine vollständig authentifizierte Sitzung. Die Angreifer können sie einfach weiterverwenden und landen damit direkt in den Microsoft-Services – ohne erneut Anmeldedaten eingeben oder MFA-Codes eingeben zu müssen. Microsoft nennt diese Technik AiTM-Angriffe (Adversary-in-the-Middle), weil der Hacker als Man-in-the-Middle die komplette Authentifizierung in Echtzeit proxyt.
Hat Storm-2755 erst einmal Zugriff auf das Konto, wird es systematisch. Die Angreifer erstellen Inbox-Regeln, die automatisch E-Mails mit Schlüsselwörtern wie “direct deposit” oder “bank” – also Mitteilungen der HR-Abteilung – in versteckte Ordner verschieben. Das Ziel: Die Arbeitnehmer sollen gar nicht merken, was passiert. Gleichzeitig suchen die Hacker nach Schlagwörtern wie “Payroll”, “HR” oder “Finance” und senden dann selbst E-Mails an die Personalabteilung, angeblich mit Fragen zur Gehaltsüberweisung – und bringen die HR-Mitarbeiter dazu, die Bankdaten zu ändern.
Falls diese Social-Engineering-Taktik nicht funktioniert, loggen sich die Angreifer einfach direkt in HR-Systeme wie Workday ein und manipulieren die Bankdaten manuell mit ihren gestohlenen Session-Tokens. Eine perfekte Masche gegen Unternehmen, die nicht auf modernem, phishing-resistenten MFA-Standard setzen.
Microsoft berichtet auch von einer ähnlichen Kampagne der Gruppe Storm-2657, die seit März 2025 US-amerikanische Universitätsmitarbeiter angegriffen hat. Auch hier war die Folge: gestohlene Gehälter durch manipulierte Zahlungssysteme.
Zum Kontext: Die FBI registrierte im vergangenen Jahr über 24.000 BEC-Beschwerden (Business Email Compromise) mit Schäden von über 3 Milliarden Dollar – das ist das zweitlukrativste Cybercrime-Geschäft nach Investment-Betrügereien.
Microsoft rät deshalb dringend, Legacy-Authentifizierungsprotokolle zu blockieren und nur phishing-resistente MFA einzusetzen. Bei Kompromittierungsverdacht sollten Tokens und Sessions sofort widerrufen, verdächtige Inbox-Regeln gelöscht und alle MFA-Methoden sowie Credentials zurückgesetzt werden.