SchwachstellenPhishingHackerangriffe

Russische Hackergruppe TA446 nutzt DarkSword-Exploit gegen iPhones in gezielten Phishing-Angriffen

Russische Hackergruppe TA446 nutzt DarkSword-Exploit gegen iPhones in gezielten Phishing-Angriffen
Zusammenfassung

Die russische Hackergruppe TA446, die mit dem Geheimdienst FSB verbunden ist, führt derzeit eine gezielte Spear-Phishing-Kampagne durch, bei der erstmals das DarkSword-Exploit-Kit gegen iOS-Geräte eingesetzt wird. Wie Proofpoint berichtet, wurden täuschend echte E-Mails versendet, die sich als Einladungen der Atlantic Council ausgeben und zur Installation der Malware GHOSTBLADE führen sollen. Ein Ziel war der russische Oppositionspolitiker Leonid Volkov. Die Kampagne zeichnet sich durch ungewöhnlich breite Zielgruppen aus – Regierungsbehörden, Think Tanks, Universitäten, Finanzinstitutionen und Anwaltskanzleien sind betroffen. Die Nutzung des geleakten DarkSword-Kits durch TA446 stellt einen Wendepunkt dar: Bislang galten iOS-Geräte als relativ sicher vor staatlichen Hackangriffen. Nun besteht die Gefahr, dass auch weniger versierte Cyberkriminelle auf das Exploit-Kit zugreifen und es als Commodity-Malware einsetzen. Für deutsche Nutzer und Organisationen bedeutet dies ein erhebliches Risiko, insbesondere für Regierungsstellen, NGOs und Unternehmen mit internationalem Bezug. Apple hat bereits Warnung vor web-basierten Angriffen ausgegeben und fordert Nutzer auf, ihre Geräte zu aktualisieren. Der Vorfall verdeutlicht, dass die bisherige Sicherheitsprämisse der iPhone-Immunität nicht mehr haltbar ist.

Die Sicherheitsfirma Proofpoint hat am 26. März 2026 eine konzertierte Phishing-Kampagne der russischen Hackergruppe TA446 dokumentiert, die ein neues Angriffsszenario offenbart: Erstmals nutzt die Gruppe das vor kurzem öffentlich gemachte DarkSword-Exploit-Kit, um iOS-Geräte ins Visier zu nehmen. Damit durchbrechen die Angreifer eine lange gehaltene Abwehrlinie – iPhones galten bislang als deutlich widerstandsfähiger gegen solche Angriffe.

Die Kampagne zeichnet sich durch ihre täuschend echten gefälschten E-Mails aus, die als Einladungen zum Atlantic Council ausgegeben werden. Diese E-Mails dienen als Einfallstor für die Dataminer-Malware GHOSTBLADE, die durch das DarkSword-Exploit-Kit auf den Zielgeräten installiert wird. Unter den Empfängern war auch Leonid Volkov, ein prominenter russischer Oppositionspolitiker und politischer Direktor der Anti-Korruptionsstiftung.

Besonders bemerkenswert ist die Breite der Zielgruppe: Während TA446 normalerweise spezifische Ziele anpeilt, umfasst die aktuelle Kampagne Regierungsbeamte, Denkfabriken, Universitäten, Finanzinstitutionen und Anwaltskanzleien. Dies deutet darauf hin, dass die Gruppe das neue Exploit-Kit opportunistisch gegen ein deutlich breiteres Zielspektrum einsetzt als bisher üblich.

Die Maßnahmen, die Apple bereits ergriffen hat, unterstreichen die Gravität der Bedrohung. Das Unternehmen verschickt Lock-Screen-Benachrichtigungen an Nutzer älterer iOS- und iPadOS-Versionen, um sie auf webbasierte Angriffe hinzuweisen und zum Update zu ermutigen. Dieses ungewöhnliche Vorgehen zeigt, dass Cupertino die Gefahr als systemisch genug einstuft, um direkten Nutzer-Support erforderlich zu machen.

Der Sicherheitsforscher Justin Albrecht von Lookout warnt vor einem wichtigen Paradigmenwechsel: Die öffentlich verfügbare Version von DarkSword auf GitHub ermöglicht es auch weniger versierten Cyberkriminellen, das fortgeschrittene Exploit-Kit zu nutzen. Dadurch verwandelt sich ein Werkzeug für gezielte Einsätze gegen Regierungsziele in eine Art “Commodity-Malware” – mit unabsehbaren Konsequenzen für die mobile Sicherheit weltweit.

Für Nutzer in Deutschland bedeutet dies, dass die Illusion der iPhone-Sicherheit bröckelt. Wer auf älteren iOS-Versionen arbeitet, sollte dringend aktualisieren. Für Unternehmen und Behörden mit sensiblen Aufgaben gilt: Gezielte Phishing-Angriffe auf Führungskräfte werden künftig noch gefährlicher, wenn Angreifer professionelle Exploits einsetzen können.

Ähnliche Artikel