Im Zentrum des Microsoft-Berichts steht eine groß angelegte Phishing-Kampagne, die der Konzern am 10. Februar 2026 beobachtete. Davon waren mehr als 29.000 Nutzer in 10.000 Organisationen betroffen. Rund 95 Prozent der Ziele befanden sich in den USA. Am stärksten betroffen waren Finanzdienstleister (19 Prozent), Technologie- und Softwareunternehmen (18 Prozent) sowie der Einzelhandel und Konsumgüterbereich (15 Prozent).

Die E-Mails gaben sich als Nachrichten der US-Steuerbehörde IRS aus. Sie behaupteten, unter der Electronic Filing Identification Number (EFIN) des Empfängers seien möglicherweise unregelmäßige Steuererklärungen eingereicht worden. Die Empfänger wurden aufgefordert, diese Erklärungen zu prüfen, indem sie einen angeblich legitimen “IRS Transcript Viewer” herunterladen.

Versendet wurden die Nachrichten über Amazon Simple Email Service (SES). Sie enthielten eine Schaltfläche mit der Aufschrift “Download IRS Transcript View 5.1”. Ein Klick darauf leitete die Nutzer auf die Domain smartvault[.]im weiter, die sich als die bekannte Dokumentenmanagement-Plattform SmartVault ausgab.

Die Phishing-Seite nutzte Cloudflare, um Bots und automatisierte Scanner fernzuhalten, sodass nur menschliche Besucher die eigentliche Schadlast erhielten: eine schädlich präparierte Version von ScreenConnect. Sie verschafft den Angreifern Fernzugriff auf die Systeme und ermöglicht Datendiebstahl, das Abgreifen von Zugangsdaten sowie weitere Aktivitäten nach der Kompromittierung.

Zum Schutz empfiehlt Microsoft Organisationen, eine Zwei-Faktor-Authentifizierung für alle Nutzer durchzusetzen, Richtlinien für bedingten Zugriff einzuführen, eingehende E-Mails und besuchte Websites zu überwachen und zu scannen sowie den Zugriff auf die schädlichen Domains zu unterbinden.

Die Funde fallen mit der Entdeckung mehrerer weiterer Kampagnen zusammen, die Schadsoftware für den Fernzugriff einschleusen oder Daten stehlen. Sie reihen sich in einen allgemeinen Anstieg der Nutzung von Fernwartungswerkzeugen durch Angreifer ein: Laut einem aktuellen Bericht von Huntress stieg der Missbrauch solcher Werkzeuge im Jahresvergleich um 277 Prozent.

“Da diese Werkzeuge von legitimen IT-Abteilungen genutzt werden, werden sie in den meisten Unternehmensumgebungen typischerweise übersehen und als vertrauenswürdig eingestuft”, erklärten die Forscher Daniel Stepanic und Salim Bitam von Elastic Security Labs. Organisationen müssten wachsam bleiben und ihre Umgebungen auf unbefugte RMM-Nutzung prüfen.