Im aktualisierten Sicherheitshinweis PSA I-062626-PSA nennen FBI und CISA nun auch zwei öffentliche Bezeichnungen für die beobachteten Aktivitäten, die in der März-Warnung noch fehlten: UNC5792 und UNC4221. Das FBI ordnet die Kampagne mehreren Gruppen russischer Nachrichtendienste zu. Genannt werden unter anderem FSB-Offiziere, die in die FSB-Grenztruppen eingebettet sind, sowie weitere Akteure im Umfeld russischer Militärdienste.

Die neue Phishing-Variante ist auf Signal zugeschnitten. Während frühere Wellen laut den Behörden auf SMS-Bestätigungscodes und Konto-PINs abzielten oder manipulierte Einladungslinks für Gruppen nutzten, mit denen unbemerkt ein Gerät des Angreifers mit dem Konto verknüpft wurde, führen die Täter ihre Opfer jetzt durch die Aktivierung der Signal-Backups. Anschließend sollen Betroffene den Wiederherstellungsschlüssel öffnen und in einen Chat einfügen.

FBI und CISA beschreiben zwei beispielhafte Ködernachrichten. Die eine gibt sich als verpflichtende Einführung einer Zwei-Faktor-Authentifizierung aus, die andere als dringende „Datenwiederherstellung“, weil Nachrichten angeblich vom Verlust bedroht seien. In beiden Fällen tritt die Nachricht als Signal-Support auf.

Die Folgen sind aus Sicht der Behörden gravierend: Wer den Schlüssel einmal herausgibt, ermöglicht es dem Angreifer, das Backup des Kontos wiederherzustellen, die Historie privater und Gruppen-Nachrichten zu lesen und das Konto zu übernehmen. Der Hinweis warnt außerdem, dass der Schlüssel nicht nach einmaliger Nutzung verfällt. Selbst ein neu eingerichtetes Konto mit derselben Telefonnummer bleibt demnach mit dem alten Wiederherstellungsschlüssel angreifbar.

Die empfohlene Gegenmaßnahme ist entsprechend direkt: In den Einstellungen soll ein neuer Wiederherstellungsschlüssel erzeugt werden. Dadurch wird der alte Schlüssel für künftige Backup-Downloads ungültig. Bereits abgegriffene Daten lassen sich damit jedoch nicht zurückholen.

Die Behörden stellen wie schon im März klar, dass weder die Verschlüsselung von Signal noch die App selbst gebrochen wurden. Die Angreifer kompromittieren einzelne Konten durch Social Engineering und nutzen anschließend eine legitime Funktion der Anwendung aus.

Als Ziele nennen FBI und CISA aktuelle und ehemalige Regierungsvertreter aus den USA und anderen Staaten, Militärangehörige, politische Persönlichkeiten, Journalisten und Amtsträger in der Ukraine. Bereits in der März-Mitteilung hieß es, die breiter angelegte Kampagne habe weltweit schon Tausende Konten kompromittiert.

Begleitend zur aktualisierten Warnung setzt das Programm Rewards for Justice des US-Außenministeriums eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen zu UNC5792 aus. Überschneidungen sehen die US-Behörden zudem mit früheren Warnungen der niederländischen Dienste AIVD und MIVD, des deutschen BfV und BSI sowie der französischen ANSSI. Googles Threat Intelligence Group hatte UNC5792 Anfang 2025 erstmals beim Missbrauch der Funktion für verknüpfte Geräte in Signal dokumentiert und nach eigenen Angaben dieselbe Vorgehensweise auch gegen WhatsApp und Telegram beobachtet.