Cyberkriminalität: Angriff auf den Helpdesk

Während die IT-Sicherheitsbranche gebannt auf KI-generierte Deepfakes und Phishing-Attacken blickt, vollzieht sich im Hintergrund eine gefährliche Kehrtwende: Hochspezialisierte Hackergruppen setzen wieder auf klassische Methoden – mit verheerendem Erfolg. Neue Forschungsergebnisse aus dieser Woche zeigen, wie Cyberkriminelle ausgerechnet die vertrauenswürdigsten Unternehmenstools gegen ihre Betreiber wenden.

Die Strategie ist so simpel wie wirkungsvoll: Statt komplexe KI-Algorithmen einzusetzen, missbrauchen die Angreifer Support-Portale, Fernwartungssoftware und Messenger-Dienste. Was diese Attacken so gefährlich macht? Sie umgehen herkömmliche Sicherheitsfilter nicht durch technische Raffinesse, sondern durch geschickte Ausnutzung legitimer Infrastruktur.

Die wohl beunruhigendste Entwicklung dieser Woche: Angriffe auf Kundenservice-Plattformen werden industrialisiert. Das IT-Sicherheitsunternehmen ReliaQuest deckte eine Kampagne der Hackergruppe “Scattered Lapsus$ Hunters” auf, die gezielt Nutzer von Zendesk ins Visier nimmt – einer weltweit verbreiteten Kundenservice-Plattform.

IT-Teams stehen unter Druck: Studien zeigen, dass ein Großteil der Unternehmen nicht ausreichend gegen moderne Angriffe wie gefälschte Support-Tickets oder “Living off the Land”-Techniken geschützt ist. Der kostenlose Cyber-Security-Guide erklärt praxisnah, wie Sie Verhaltensanalysen einführen, Remote-Management-Software überwachen, Incident-Response-Prozesse stärken und Support-Kanäle absichern, bevor Angreifer legitime Tools missbrauchen. Ideal für Sicherheitsverantwortliche und IT-Leiter, die echte Schutzmaßnahmen sofort umsetzen möchten. Gratis Cyber-Security-Guide anfordern

Die Taktik unterscheidet sich fundamental von klassischem Phishing: Statt wahllos Mitarbeiter anzuschreiben, jagen die Angreifer die “Helfer” – Support-Mitarbeiter, die trainiert sind, Tickets zu öffnen und Anhänge zu prüfen. Über gefälschte Domains wie znedesk[.]com oder vpn-zendesk[.]com reichen sie betrügerische Support-Anfragen ein, getarnt als dringende Systemadministrations-Anfragen.

“Die Angreifer zielen klar auf den Diebstahl von Zugangsdaten ab”, warnen die ReliaQuest-Forscher. Wer ein Support-Konto kompromittiert, sitzt an der Quelle: Im September 2025 führte ein solcher Angriff auf Discords Support-System zur Offenlegung sensibler Nutzerdaten. Die Gruppe droht bereits mit weiteren Kampagnen bis Januar 2026 und warnt Sicherheitsverantwortliche via Telegram: “Wir kommen, um eure Kundendatenbanken abzugreifen.”

MuddyWater tarnt sich als Videospiel

Am 2. Dezember enthüllte das Sicherheitsunternehmen ESET eine neue Kampagne der iranischen Spionagegruppe MuddyWater. Der Fall illustriert den Trend zum “Living off the Land” – Angreifer nutzen legitime Administrationstools, um im normalen Netzwerkverkehr unterzutauchen.

MuddyWater (auch bekannt als Mango Sandstorm) attackiert kritische Infrastruktur in Israel und Ägypten mit der neuen Backdoor “MuddyViper”. Die Raffinesse liegt nicht in KI-Generierung, sondern im Liefermechanismus: Ein spezieller Loader namens “Fooder” tarnt sich als klassisches “Snake”-Videospiel und täuscht automatisierte Analysesysteme.

“Diese Kampagne zeigt Anzeichen technischer Evolution – erhöhte Präzision, strategisches Targeting und ein fortgeschritteneres Werkzeugset”, konstatieren die ESET-Forscher. Besonders perfide: Einmal im System, setzen die Angreifer legitime Remote-Management-Software wie Atera, Level und SimpleHelp ein. Da IT-Abteilungen diese Tools routinemäßig für Wartungsarbeiten nutzen, schlagen Sicherheitsalarme selten an.

Telegram als Kommandozentrale

Zeitgleich veröffentlichten Kaspersky-Forscher am 1. Dezember Erkenntnisse über “Tomiris”, eine russischsprachige Hackergruppe, die Regierungs- und Diplomatenkreise in der GUS-Region attackiert.

Die Neuerung: Tomiris leitet seine Kommando-Server über Telegram und Discord. Indem bösartige Befehle durch diese populären Messenger-Dienste laufen, wird der Datenverkehr von regulärer Mitarbeiterkommunikation praktisch ununterscheidbar.

“Dieser Ansatz zielt darauf ab, bösartigen Traffic mit legitimer Dienstnutzung zu vermischen und so der Erkennung zu entgehen”, erklären die Kaspersky-Experten. Zusätzlich setzt die Gruppe auf “Polyglot”-Dateien – komplexe Formate, die gleichzeitig als Bild und als Archiv interpretiert werden können – sowie passwortgeschützte ZIP-Archive. Da Scanner verschlüsselte Dateien ohne Passwort nicht auspacken können (das Passwort erhält das Opfer im E-Mail-Text), erreicht die Schadsoftware ungehindert den Posteingang.

ClickFix: Wenn Nutzer sich selbst hacken

Jenseits staatlich geförderter Spionage etabliert sich ein Phänomen namens “ClickFix” als dominante Taktik. Diese von Proofpoint und Sekoia dokumentierte Methode nutzt die Hilfsbereitschaft der Anwender aus.

Bei einem ClickFix-Angriff wird dem Nutzer auf einer kompromittierten Website eine gefälschte Fehlermeldung präsentiert – etwa ein gescheitertes Browser-Update oder ein Microsoft-Word-Absturz. Die Anweisungen zur “Fehlerbehebung” führen unweigerlich dazu, dass der Nutzer die Windows-PowerShell öffnet und ein vorbereitetes Skript einfügt.

Die Methode ist verheerend effektiv, weil sie Endpoint-Detection-Systeme umgeht: Technisch gesehen führt der Nutzer den Befehl aus, nicht eine Schadsoftware. Die “bösartige” Aktion ist eine autorisierte Nutzereingabe in ein Systemtool – was viele Sicherheitskonfigurationen standardmäßig erlauben.

Vertrauen als Schwachstelle

Die Renaissance dieser nicht-KI-basierten Taktiken markiert einen strategischen Schwenk in der Bedrohungslandschaft. Während KI-Tools die Einstiegshürde für Gelegenheitskriminelle senken, entdecken professionelle Gruppen neu, dass “dumme” Komplexität – der Missbrauch von Vertrauen und Psychologie – bei hochkarätigen Zielen überlegen bleibt.

Der gemeinsame Nenner der Zendesk-, MuddyWater- und Tomiris-Kampagnen ist der Vertrauensmissbrauch:

• Vertrauen in Plattformen: Zendesk, Telegram und Discord gelten als sichere Businesstools
• Vertrauen in Anbieter: IT-Teams führen RMM-Tools wie Atera auf Whitelists
• Vertrauen in Routine: Nutzer sind es gewohnt, Code zu kopieren, um “Fehler zu beheben”

Diese Angriffe auf die “Vertrauenskette” sind schwerer zu bekämpfen als klassische Malware – ihre Blockierung bedeutet oft die Blockierung essentieller Geschäftsfunktionen.

Was Unternehmen jetzt tun müssen

Die “Scattered Lapsus$ Hunters” haben bereits angekündigt, ihre Operationen über die Weihnachtszeit fortzusetzen. Sicherheitsteams müssen von reiner signaturbasierter Erkennung zu Verhaltensanalysen übergehen. Die Absicht hinter einem PowerShell-Befehl oder einem Zendesk-Ticket zu validieren, ist mittlerweile genauso kritisch wie das Scannen nach Malware-Signaturen.

Die nächste Generation des Phishings ist kein besser formuliertes ChatGPT-E-Mail – es ist das gefälschte Support-Ticket in der Plattform, die eigentlich helfen soll.

PS: Viele Angriffe funktionieren, weil Mitarbeiter Anweisungen blind befolgen – von gefälschten Fehlermeldungen bis zu manipulierten Support-Tickets. Der kostenlose E‑Book-Report “Cyber Security Awareness Trends” liefert praxiserprobte Maßnahmen, Checklisten für wirksame Schulungen sowie technische Kontrollen, mit denen Sie ClickFix, Phishing und missbräuchliche Nutzung von Messenger-Diensten deutlich reduzieren. Optimal für IT-Verantwortliche, die ihre Abwehr direkt und ohne großes Budget stärken wollen. Jetzt kostenlosen Cyber-Awareness-Report herunterladen