MalwarePhishingCyberkriminalität

Storm-2561: Gefälschte VPN-Clients stehlen Anmeldedaten via SEO-Manipulation

Storm-2561: Gefälschte VPN-Clients stehlen Anmeldedaten via SEO-Manipulation
Zusammenfassung

Eine neue Kampagne des Bedrohungsakteurscluster Storm-2561 gefährdet Nutzer weltweit durch eine raffinierten Betrugsmasche: Kriminelle manipulieren Suchmaschinenergebnisse, um Benutzer bei der Suche nach legitimen VPN-Clients auf gefälschte Webseiten zu locken. Dort werden trojanisierte VPN-Anwendungen zum Download angeboten, die täuschend echt aussehen und mit gültigen digitalen Zertifikaten signiert sind. Sobald Nutzer diese installierten Programme starten, werden ihre VPN-Anmeldedaten abgegriffen – eine besonders tückische Methode, da sie die Vertrauenswürdigkeit bekannter Marken und Suchmaschinen ausnutzt. Microsoft hat die Kampagne Anfang 2026 dokumentiert und bereits Maßnahmen eingeleitet, doch die Bedrohung bleibt präsent. Für deutsche Nutzer, Unternehmen und Behörden ist dies hochrelevant: Besonders Organisationen, die VPN-Zugänge nutzen, werden zur Zielscheibe. Mit gestohlenen VPN-Credentials erlangen Angreifer Zugang zu sensiblen Unternehmensnetzwerken. Der Fall unterstreicht, wie wichtig Wachsamkeit beim Software-Download und die Implementierung von Multi-Faktor-Authentifizierung sind.

Die Cyberkriminalgruppe Storm-2561 hat eine ausgefeilte Kampagne zur Diebstahl von VPN-Anmeldedaten gestartet, die Suchmaschinen-Manipulation als zentrale Taktik einsetzt. Wie Microsoft und ihre Bedrohungsexperten berichten, werden Nutzer, die auf Bing nach legitimer VPN-Software suchen, systematisch zu gefälschten Websites weitergeleitet. Dort sollen sie vermeintlich authentische VPN-Clients herunterladen – in Wirklichkeit aber manipulierte MSI-Installer.

Die Methode ist perfide ausgeklügelt: Die Trojaner sind digital signiert und masquerades als vertrauenswürdige Software. Beim Installationsprozess werden heimlich böswillige DLL-Dateien eingeschleust. Sobald der Nutzer die Software startet, erscheint eine täuschend echte Anmeldedialog – die gestohlenen Zugangsdaten werden sofort an die Angreifer übermittelt. Der Malware-Infostealer namens Hyrax kommt dabei zum Einsatz.

Sturm-2561 ist nicht neu: Die Gruppe ist seit Mai 2025 aktiv und wurde bereits von den Sicherheitsunternehmen Cyjax und Zscaler dokumentiert. Die Attacken zielten auf beliebte Enterprise-Software wie SonicWall, Hanwha Vision und Ivanti Secure Access ab. Im Oktober 2025 meldete Zscaler eine besonders perfide Variante, bei der die gefälschte Domain “ivanti-vpn[.]org” genutzt wurde.

Ein besonders beunruhigendes Detail: Die Angreifer missbrauchen GitHub, um die Installer zu hosten. Das verleiht der Malware zusätzliche Glaubwürdigkeit, da GitHub als vertrauenswürdige Plattform gilt. Nach der Installation sorgt die Malware für Persistenz durch den Windows RunOnce-Registry-Schlüssel – sie lädt sich bei jedem Neustart automatisch nach.

Die Angreifer hinter Storm-2561 sind finanziell motiviert. Microsoft konnte die Malware auf ein Zertifikat zurückführen, das auf “Taiyuan Lihua Near Information Technology Co., Ltd.” registriert ist. Das Unternehmen hat die GitHub-Repositories mittlerweile entfernt und das Zertifikat widerrufen.

Für Nutzer und Organisationen heißt das: Vorsicht beim Download von Software. Multi-Faktor-Authentifizierung auf allen Konten ist jetzt essentiell. Besonders kritisch ist dies für Homeoffice-Arbeiter und Unternehmen, die auf VPN-Verbindungen angewiesen sind.

Ähnliche Artikel