SchwachstellenHackerangriffeMalware

PhantomCore-Hackergruppe nutzt TrueConf-Lücken für großangelegte Angriffe auf russische Netzwerke

Von CyberDeutsch Redaktion
PhantomCore-Hackergruppe nutzt TrueConf-Lücken für großangelegte Angriffe auf russische Netzwerke
Zusammenfassung

Die pro-ukrainische Hackergruppe PhantomCore hat seit September 2025 gezielt russische Organisationen angegriffen, indem sie Sicherheitslücken in der Videokonferenzsoftware TrueConf ausnutzte. Laut einem Bericht von Positive Technologies gelang es den Angreifern, eine Exploit-Kette aus drei bislang nicht öffentlich bekannten Schwachstellen zu entwickeln und erfolgreich einzusetzen. Die Gruppe, auch unter Namen wie Fairy Trickster und UNG0901 bekannt, nutzte diese Zugangsvektor, um sich lateral in Netzwerken auszubreiten, Datendiebstahl zu begehen und Ransomware-Anschläge durchzuführen. Obwohl TrueConf bereits im August 2025 Sicherheitspatches veröffentlicht hatte, zeigt dieser Fall ein besorgniserregendes Muster: Während die Anschläge primär gegen russische Infrastruktur gerichtet sind, unterstreichen sie eine globale Bedrohung. Deutsche Unternehmen und Behörden sollten wachsam sein, falls sie TrueConf oder ähnliche Lösungen im Einsatz haben, da Hacker-Gruppen regelmäßig ihre Methoden auch gegen westliche Ziele anpassen. Der Vorfall verdeutlicht die Notwendigkeit rascher Patch-Management-Prozesse und kontinuierlicher Überwachung von Videokonferenzplattformen, die zunehmend kritische Infrastrukturen darstellen.

Die Hackergruppe PhantomCore, auch unter den Namen Fairy Trickster, Head Mare, Rainbow Hyena und UNG0901 bekannt, ist seit 2022 aktiv und wird als politisch sowie finanziell motivierte Cyberkriminelle-Crew eingestuft. Die Angreifer nutzen ihre Angriffe nicht nur zur Datendiebstahl, sondern setzen auch Ransomware-Varianten ein – basierend auf geleaktem Quellcode von Babuk und LockBit.

Besonders bemerkenswert ist die technische Raffinesse der Operationen: Obwohl für die Exploit-Kette keine öffentlich zugänglichen Tools zur Verfügung standen, gelang es PhantomCore, die Schwachstellen eigenständig zu analysieren und auszunutzen. “Der Gruppe gelingt es, großangelegte Operationen durchzuführen, während sie sich dabei völlig unsichtbar in Opfernetzwerken bewegt – ermöglicht durch kontinuierliche Updates und Weiterentwicklung eigener Offensive-Tools”, erklären die Forscher Daniil Grigoryan und Georgy Khandozhko.

Nach erfolgreicher Ausnutzung der TrueConf-Schwachstellen nutzen die Angreifer den kompromittierten Server als Sprungbrett für lateral movement – also zur Bewegung innerhalb des Netzwerks. Sie installieren PHP-basierte Web-Shells, richten Proxy-Server ein und schaffen Kommunikationskanäle mittels Tunneling-Tools. In einigen Fällen wurden administrative Benutzerkonten angelegt, um Persistenz zu sichern.

Die ersten dokumentierten Angriffe auf TrueConf-Server ereigneten sich Mitte September 2025 – also nur etwa drei Wochen nach Veröffentlichung der Patches. Dies unterstreicht die schnelle Reaktionsfähigkeit moderner Hackergruppen.

PhantomCore setzt zudem auf Phishing als Einfallstor. Seit Januar 2026 werden gezielt präparierte ZIP- und RAR-Archive versendet, die einen Backdoor verbreiten, der Remote-Befehle ausführen und beliebige Payloads bereitstellen kann.

Das Arsenal der Gruppe ist beeindruckend vielfältig: Neben öffentlich verfügbaren Tools wie Velociraptor und Memprocfs nutzen die Angreifer proprietäre Werkzeuge wie MacTunnelRAT, PhantomSscp und PhantomProxyLite.

Positive Technologies warnt: “PhantomCore ist eine der aktivsten Gruppen in der russischen Bedrohungslandschaft.” Die Gruppe zielt auf Regierungs- und Privatorganisationen in vielfältigen Industrien ab und sucht gezielt nach Schwachstellen in Inlandssoftware – eine Strategie, die sich als hocheffektiv erweist.

Ähnliche Artikel