PhishingHackerangriffeMalware

Phishing-Betrug: Pro-russische Hacker geben sich als ukrainische Cyberbehörde aus

Phishing-Betrug: Pro-russische Hacker geben sich als ukrainische Cyberbehörde aus
Zusammenfassung

Die pro-russische Hackergruppe UAC-0255 hat sich in einer groß angelegten Phishing-Kampagne als ukrainische Cyber-Behörde ausgegeben, um Regierungsstellen, Unternehmen und weitere Institutionen anzugreifen. Die Angreifer versendeten E-Mails im Namen von CERT-UA, der nationalen Incident-Response-Agentur der Ukraine, und warnten vor einem angeblich bevorstehenden russischen Großangriff auf kritische Infrastruktur. Die manipulierten Nachrichten forderten Empfänger auf, eine verdächtige Archivdatei herunterzuladen und vermeintliche Sicherheitssoftware zu installieren – tatsächlich enthielt sie die Remote-Access-Malware AgeWheeze. Obwohl die Kampagne relativ wenig Erfolg hatte und hauptsächlich private Geräte von Bildungseinrichtungen infizierte, zeigt der Angriff die Gefahr gezielter Social-Engineering-Taktiken im Cyberkrieg. Die Operation wird der relativ neuen Hackergruppe CyberSerp zugeordnet, die sich als ukrainische „Cyber-Partizanen" darstellt. Für deutsche Nutzer und Unternehmen ist dieser Fall ein warnendes Beispiel: Professionell durchgeführte Phishing-Angriffe können jeden treffen – unabhängig von geografischen Grenzen. Behörden und Firmen sollten verstärkt auf Authentifizierung von offiziellen Mitteilungen achten und Mitarbeiter regelmäßig schulen.

Die ukrainische Cyberbehörde CERT-UA macht die Hacker-Gruppe UAC-0255 für die Phishing-Kampagne verantwortlich. Sie verschickten in der vergangenen Woche E-Mails, die vorgaben, von CERT-UA selbst zu stammen. Die Nachrichten warnten Empfänger vor einer vermeintlichen großangelegten Cyberattacke, die angeblich von Russland gegen ukrainische kritische Infrastrukturen vorbereitet wurde.

Die Täter forderten die Empfänger auf, ein passwortgeschütztes Archiv vom File-Sharing-Service Files.fm herunterzuladen und eine „spezialisierte Sicherheitssoftware” zu installieren. Mit Verweis auf schwerwiegende Konsequenzen bei Nichtbeachtung erhöhten sie den Druck auf ihre Ziele. Tatsächlich verbargen sich in den Archiven jedoch die Malware AgeWheeze – ein Remote-Administration-Tool, das den Angreifern umfangreiche Kontrollfunktionen bietet. Damit können sie Befehle ausführen, Dateien und Prozesse verwalten, Bildschirminhalte streamen und sogar Maus- und Tastatursignale emulieren sowie auf die Zwischenablage zugreifen.

Die Phishing-Kampagne zielte auf Organisationen in unterschiedlichsten Bereichen ab, doch glücklicherweise war die Operation wenig erfolgreich. CERT-UA berichtet von nur einer geringen Anzahl tatsächlicher Infektionen, überwiegend auf Privatgeräten von Mitarbeitern von Bildungseinrichtungen.

Interessanterweise könnte die Kampagne mit der Hacker-Gruppe CyberSerp verknüpft sein, die später über Telegram Verantwortung für den Angriff übernahm. CyberSerp ist ein relativ neuer Akteur auf der Szene – sein Telegram-Kanal entstand im November 2025. Die Gruppe beschreibt sich selbst als “Cyber-Partisanen-Bewegung” mit ukrainischen Ursprüngen.

In ihren Telegram-Posts behauptete CyberSerp, etwa eine Million Benutzer des ukrainischen E-Mail-Services Ukr.net angegriffen zu haben und über 200.000 Geräte kompromittiert zu haben – Zahlen, die CERT-UA nicht bestätigte. Die Hacker lobten CERT-UA humorvoll dafür, ihren Telegram-Kanal durch die Untersuchung des Angriffs zu „bewerben".

Darüber hinaus beanspruchte CyberSerp die Verantwortung für einen separaten Sicherheitsvorfall bei der ukrainischen Cybersicherheitsfirma Cipher. Während die Hacker von einem vollständigen Server-Dump sprachen, dementierte Cipher dies teilweise: Ein Auftragnehmer-Mitarbeiter habe tatsächlich kompromittierte Anmeldedaten gehabt, aber nur Zugang zu einem Projekt ohne sensitive Daten gehabt.”,

Ähnliche Artikel