Die Sicherheitsfirma SOCRadar hat eine bemerkenswert persistente Phishing-Operation offengelegt, die zeigt, wie professionell organisierte Cyberkriminelle ihre Angriffe über Jahre hinweg optimieren und anpassen können.
Operation HookedWing nutzt eine bewährte, aber effektive Methode: Phishing-E-Mails, die sich als interne HR-Mitteilungen oder Kollegen ausgeben. Die Nachrichten wirken bewusst unauffällig und autoritär — ein psychologischer Trick, der Vorsicht abbaut. Besonders raffiniert ist die technische Umsetzung: Viele Links führen zu GitHub-Repositorien oder versteckten Zwischenseiten. Die gefälschten Outlook-Anmeldeseiten zeigen beim Laden dem Opfer sogar den Namen seiner eigenen Organisation an. Dieser psychologische Mechanismus — das Sehen vertrauter Informationen während des Ladevorgangs — erhöht die Glaubwürdigkeit erheblich, bevor die Eingabemaske erscheint.
Technisch läuft im Hintergrund ein ausgefeiltes Skript: Es validiert E-Mail-Adressen und URLs, injiziert vorausgefüllte PHP-Formulare zur Datenerfassung und sammelt Standortinformationen. Wenn das Opfer auf “Anmelden” klickt, erhält der Angreifer sofort alle kritischen Daten in einem Datensatz: E-Mail, Passwort, IP-Adresse, exakte Geoposition, Quell-URL und die Organisationsdomäne des Opfers.
Die Kampagne hat sich kontinuierlich weiterentwickelt. Anfangs (2022-2024) konzentrierte sich Operation HookedWing auf englischsprachige Inhalte, ab 2024 kamen französische Varianten hinzu. 2025 hat sich die Infrastruktur massiv ausgeweitet: GitHub-Domain-Namen werden obfuskiert, neue Themes hinzugefügt, zusätzliche Landing-Pages bereitgestellt. SOCRadar identifizierte zwei Dutzend Command-and-Control-Server, über 100 GitHub-Domains und mehrere Distributionsdomänen.
Die Zielauswahl deutet auf staatliche oder staatlich unterstützte Aktivitäten hin. Fokus liegt auf Organisationen mit geopolitischer Bedeutung und privilegiertem Zugang — Profile, die für Spionage oder nachgelagerte Angriffe wertvoll sind. Deutsche Infrastrukturunternehmen, Behörden und große Technologiekonzerne sollten dieses Muster ernst nehmen.
Für betroffene Organisationen gelten strikte DSGVO-Verpflichtungen: Eine Datenpanne mit Anmeldedaten muss der Datenschutzbehörde (BfDI) gemeldet werden. Unternehmen sollten ihre Mitarbeiter zur Phishing-Erkennung schulen, Multi-Faktor-Authentifizierung aktivieren und verdächtige E-Mails einem Sicherheitsteam melden. Das BSI bietet auf seiner Website Richtlinien für sichere E-Mail-Nutzung.