Neue Bedrohungswelle zielt auf Microsoft 365

Die Sicherheitslage für Microsoft 365-Umgebungen hat sich diese Woche dramatisch verschärft. Gleich zwei Entwicklungen machen IT-Verantwortlichen zu schaffen: Die ToddyCat-Hackergruppe setzt neue Tools ein, die OAuth-Tokens stehlen und Multi-Faktor-Authentifizierung umgehen können. Parallel dazu treibt die Phishing-Plattform “Quantum Route Redirect” die Industrialisierung automatisierter Angriffe voran. Zusammen mit kritischen Zero-Day-Schwachstellen, die Microsoft Anfang November gepatcht hat, zeigt sich: Cyberkriminelle haben ihre Methoden fundamental verändert.

Gestern veröffentlichten Sicherheitsforscher von Kaspersky einen Bericht über die massiv aufgerüstete ToddyCat-Gruppe. Gleichzeitig warnt das Sicherheitsunternehmen KnowBe4 vor “Quantum Route Redirect” – einer Plattform, die Phishing-Angriffe so automatisiert, dass selbst geschützte E-Mail-Gateways versagen.

ToddyCat-Gruppe rüstet massiv auf

Am 25. November 2025 enthüllten Kaspersky-Forscher Details über die neue Schlagkraft der ToddyCat-APT-Gruppe, die seit Jahren Regierungen und Verteidigungseinrichtungen in Europa und Asien attackiert. Die Hacker haben ihre Fähigkeiten zur Infiltration von Cloud-Umgebungen erheblich erweitert. Zum Einsatz kommt eine neue PowerShell-Variante ihrer “TomBerBil”-Malware sowie ein spezialisiertes Werkzeug namens “TCSectorCopy”.

Die Tools extrahieren sensible Daten direkt von kompromittierten Endgeräten, um sich Zugang zur Cloud zu verschaffen. “Die ToddyCat-Gruppe entwickelt ihre Techniken ständig weiter und sucht nach Methoden, die ihre Aktivitäten verschleiern – um Zugriff auf Unternehmenskommunikation zu erlangen”, erklärt Kaspersky.

Passend zum Thema Phishing‑Automatisierung: Plattformen wie Quantum Route Redirect umgehen herkömmliche URL‑Scanner und machen viele Abwehrmechanismen wirkungslos. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung, erklärt psychologische Angriffsmuster, zeigt technische Gegenmaßnahmen und enthält Vorlagen für Mitarbeiterschulungen – ideal für IT‑Verantwortliche und Security‑Teams. Die Materialien sind branchenspezifisch, mit Checklisten und konkreten Handlungsempfehlungen, die sich schnell umsetzen lassen. Anti‑Phishing‑Paket jetzt herunterladen

Die neue Toolsammlung ermöglicht es Angreifern, OAuth 2.0-Refresh-Tokens aus dem Browser-Speicher zu stehlen und gesperrte Outlook-OST-Dateien auszulesen. Mit gültigen OAuth-Tokens können ToddyCat-Operateure auf Exchange Online-Umgebungen zugreifen, ohne das Passwort zu kennen oder eine MFA-Abfrage auszulösen. Diese “Pass-the-Token”-Angriffsvariante stellt ein kritisches Risiko dar – besonders für Unternehmen, die sich ausschließlich auf Authentifizierungsbarrieren verlassen, ohne kontinuierliche Sitzungsüberwachung.

Phishing wird zur Massenware

Während staatlich gesponserte Akteure ihre zielgerichteten Angriffe verfeinern, erlebt das breitere Cybercrime-Ökosystem den Aufstieg von “Quantum Route Redirect” (QRR). Diese Phishing-as-a-Service-Plattform senkt die Einstiegshürde für hochentwickelte Attacken dramatisch. In einem Anfang November veröffentlichten Bericht identifizierte KnowBe4 Threat Labs rund 1.000 Domains, die diese Infrastruktur nutzen, um Microsoft 365-Nutzer weltweit anzugreifen.

QRR hebt sich durch fortschrittliche automatisierte Traffic-Filterung ab. Die Plattform analysiert eingehende Besucher in Echtzeit und unterscheidet zwischen Sicherheitsbots und menschlichen Opfern. “Quantum Route Redirect liefert eine vorkonfigurierte Einrichtung samt Phishing-Domains, die einen einst technisch komplexen Kampagnenablauf erheblich vereinfacht”, so KnowBe4.

Wenn ein Sicherheitsscanner einen QRR-Link überprüft, wird er zu einer harmlosen Seite umgeleitet. Echte Nutzer landen hingegen auf einer täuschend echten Seite, die Microsoft-Login-Portale nachahmt. Diese Ausweichtechnik ermöglicht es Phishing-E-Mails, zahlreiche konventionelle URL-Scanner zu umgehen und direkt im Posteingang der Nutzer zu landen. Die Kampagne zielt auf Organisationen in 90 Ländern ab, mit Schwerpunkt in den USA und Europa.

Kritische Schwachstellen im November-Patch

Diese Social-Engineering- und Identitätsbedrohungen werden durch grundlegende Softwareschwachstellen verschärft. Im November 2025 Patch Tuesday-Update vom 12. November behob Microsoft über 60 Sicherheitslücken, darunter eine kritische Zero-Day-Schwachstelle im Windows-Kernel, die bereits aktiv ausgenutzt wurde.

Die als CVE-2025-62215 katalogisierte Schwachstelle ist eine Rechteausweitung durch eine Race-Condition und einen Double-Free-Fehler im Kernel. Mike Walters, Präsident von Action1, erläutert die Tragweite: “Dieser Race-Condition- und Double-Free-Fehler ermöglicht es einem lokal zugänglichen Angreifer mit geringen Rechten, den Kernel-Speicher zu korrumpieren und System-Privilegien zu erlangen.”

Zwar erfordert die Ausnutzung von CVE-2025-62215, dass ein Angreifer bereits Zugang zum System hat – oft durch exakt die Phishing-Taktiken erreicht, die Plattformen wie QRR ermöglichen. Doch damit können sie vollständige Kontrolle über die kompromittierte Maschine erlangen. Zusätzlich patchte Microsoft CVE-2025-60724, eine kritische Remote-Code-Execution-Schwachstelle in der Windows Graphics Device Interface (GDI+). Diese Lücke erreicht einen CVSS-Score von 9,8 und kann ohne Nutzerinteraktion ausgelöst werden, wenn eine bösartige Datei auf einen verwundbaren Server hochgeladen wird.

Der strategische Schwenk zur Identität

Die Entwicklungen im November 2025 zeigen eine klare strategische Verschiebung in der Bedrohungslandschaft. Während Unternehmen ihre Perimeter mit MFA und Endpunkt-Erkennung härten, wechseln Angreifer zu identitätszentrierten Attacken, die Vertrauensbeziehungen ausnutzen.

ToddyCats Fokus auf OAuth-Token-Diebstahl beweist: Selbst “sichere” Accounts sind verwundbar, wenn die zugrundeliegenden Sitzungs-Tokens von einem infizierten Endgerät extrahiert werden können. Sobald ein Token gestohlen ist, wird der Angreifer faktisch zum Nutzer – Passwortänderungen bleiben wirkungslos, bis das Token widerrufen wird.

Die Automatisierung durch Quantum Route Redirect zeigt: Phishing ist längst kein Zahlenspiel mehr, sondern ein technologisches Wettrüsten. Indem Angreifer Sicherheitsscanner herausfiltern, stellen sie sicher, dass ihre Köder die Nutzer im anfälligsten Moment erreichen.

Ausblick: Token-Diebstahl wird zunehmen

Für Dezember 2025 und Anfang 2026 erwarten Sicherheitsexperten einen weiteren Anstieg bei “Token-Theft”-Malware. Organisationen wird geraten, Token-Binding-Strategien zu implementieren und Sitzungszeiten zu verkürzen, um die Auswirkungen kompromittierter Zugangsdaten zu mindern.

Die rasante Verbreitung von Plattformen wie QRR legt nahe, dass automatisierte Ausweichtechniken bald zum Standard in handelsüblichen Phishing-Kits gehören werden. Sicherheitsteams sollten verhaltensbasierte Analysen priorisieren und Mitarbeiterschulungen darauf ausrichten, subtile Anzeichen von Credential-Harvesting zu erkennen – selbst wenn E-Mails technische Filter umgehen.

“Die Grenze zwischen hochentwickelten staatlich gesponserten Tools und Cybercrime-as-a-Service verschwimmt”, warnt die Security-Community. Mit Werkzeugen wie ToddyCats TCSectorCopy und Plattformen wie QRR im Umlauf erfordert die Verteidigung gegen M365-Kompromittierungen einen mehrschichtigen Ansatz – der davon ausgeht, dass der Perimeter bereits durchbrochen wurde.

PS: Die Welle automatisierter Phishing‑Kits trifft besonders Microsoft‑365-Umgebungen und verschärft das Risiko für Unternehmen jeder Größe. Sichern Sie Ihre Organisation mit dem kostenlosen Anti‑Phishing‑Paket: ein kompakter 4‑Schritte-Guide, aktuelle Angriffsbeispiele sowie eine Checkliste für präventive Maßnahmen und Mitarbeiterschulungen. Besonders nützlich für kleine IT‑Teams, die schnell wirksame Maßnahmen brauchen. Anti‑Phishing‑Paket anfordern