HackerangriffeMalwareSchwachstellen

KongTuke-Hacker nutzen Microsoft Teams für Unternehmensangriffe

Von CyberDeutsch Redaktion
KongTuke-Hacker nutzen Microsoft Teams für Unternehmensangriffe
Zusammenfassung

Die Hackergruppe KongTuke hat ihre Angriffstaktiken verschärft und nutzt nun Microsoft Teams als Einfallstor für Unternehmensnetze. Die als Initial Access Broker (IAB) bekannte Gruppe verschickt über die Collaboration-Plattform gefälschte Nachrichten von vermeintlichen IT-Support-Mitarbeitern an Unternehmensangestellte und überredet diese, einen bösartigen PowerShell-Befehl auszuführen. Dies ermöglicht der Gruppe, in nur fünf Minuten persistente Zugriffe auf Firmennetzwerke zu etablieren und die ModeloRAT-Malware einzuschleusen. Die Kampagne läuft mindestens seit April 2026 und betrifft bereits mehrere Unternehmen weltweit. KongTuke verkauft solche Netzwerkzugriffe typischerweise an Ransomware-Betreiber weiter, die dann Daten stehlen und Systeme verschlüsseln. Für deutsche Unternehmen und Behörden stellt diese neue Angriffsweise ein erhebliches Risiko dar, zumal Microsoft Teams in vielen Organisationen fest etabliert ist. Die Täter nutzen Unicode-Tricks, um ihre Display-Namen legitim wirken zu lassen, und wechseln regelmäßig zwischen Microsoft-365-Mandanten, um Blockierungen zu umgehen. Experten empfehlen Administratoren, externe Teams-Verbindungen durch Allowlisten zu beschränken und verdächtige Aktivitäten gezielt zu überwachen.

Die Sicherheitsforscher von ReliaQuest haben eine besorgniserregende Entwicklung in der Cyberkriminalität dokumentiert: Die Initial-Access-Broker-Gruppe KongTuke expandiert ihre Angriffskanäle und nutzt nun erstmals Microsoft Teams als Einfallstor für Unternehmens-Netzwerke.

Bislang setzte KongTuke auf webbasierte Phishing-Köder unter den Namen “FileFix” und “CrashFix”. Mit der neuen Strategie kombiniert die Gruppe diese bewährten Methoden mit einer völlig neuen Angriffsfläche. Die Täter verschicken über externe Teams-Chats Nachrichten, in denen sie sich als IT- und Helpdesk-Mitarbeiter ausgeben. Das Ziel: Opfer davon zu überzeugen, einen speziell präparierten PowerShell-Befehl auszuführen.

Die Geschwindigkeit des Angriffs ist alarmierend. ReliaQuest beobachtete Fälle, in denen Angreifer innerhalb von nur fünf Minuten vom ersten Kontakt bis zur persistenten Netzwerk-Kompromittierung gelangten. Um glaubwürdig zu wirken, nutzen die Kriminellen Unicode-Leerzeichen-Tricks, um gefälschte Display-Namen zu erzeugen, die wie legitime interne IT-Support-Konten wirken.

Die malware-Lieferkette funktioniert über mehrere Stufen: Das PowerShell-Skript lädt ein ZIP-Archiv von Dropbox herunter, das eine portable WinPython-Umgebung enthält. Diese installiert letztlich die Python-basierte Malware “ModeloRAT” (Pmanager.py) — ein Trojaner, der Systeminformationen sammelt, Screenshots erstellt und Dateien vom betroffenen System exfiltrieren kann.

Besonders raffiniert ist die Persistenzmechanik: Die Malware erstellt eine geplante Task (Scheduled Task), die nicht durch die selbstzerstörerischen Routinen des Trojaners gelöscht wird. Dies ermöglicht dem Malware-Betreiber, selbst nach einem Neustart des Systems Zugriff zu behalten.

Die Kampagne ist seit mindestens April 2026 aktiv. Um Blockierungsversuche zu umgehen, rotiert KongTuke durch fünf verschiedene Microsoft-365-Mandanten — ein Zeichen der Professionalität und Persistenz dieser Bedrohung.

Initial-Access-Broker wie KongTuke verkaufen Netzwerkzugriff später an Ransomware-Betreiber, die diese Foothold nutzen, um Erpressungssoftware einzuschleusen.

Zum Schutz empfehlen Sicherheitsexperten, die externe Microsoft-Teams-Föderation durch Whitelist-Mechanismen zu kontrollieren. Administratoren sollten zudem die von ReliaQuest veröffentlichten Indikatoren für Kompromittierung nutzen, um nach Anzeichen von Angriffen und Persistence-Mechanismen zu fahnden.

Ähnliche Artikel