Google Threat Intelligence Group und Mandiant enthüllten am 22. April Details eines Angriffs, der ohne eine einzige technische Sicherheitslücke durchgeführt wurde. Die Gruppe UNC6692 hackte keine Server – sie überredete die Mitarbeiter, die Tür selbst zu öffnen.
Zunächst – Panik, dann – „Hilfe"
Ende Dezember 2025 erhielten Zielunternehmen massiven Email-Spam: Die Postfächer der Mitarbeiter waren buchstäblich mit Tausenden von Nachrichten blockiert. Während das Opfer nach einem Ausweg aus dem Chaos suchte, erschien eine Nachricht im Microsoft Teams von einem „IT-Support-Kollegen" – mit dem Angebot, einen Patch zu installieren, der den Spam „stoppen würde".
Ein kritisches Detail, das leicht übersehen wird: Die Nachricht kam von einem externen Konto. Teams erlaubt solche Kontakte standardmäßig – und die meisten Mitarbeiter beachten die Kennzeichnung „External" nicht.
„UNC6692 verließ sich darauf, IT-Helpdesk-Mitarbeiter zu imitieren und Opfer zu überreden, Einladungen zu einem Chat in Teams von einem Konto außerhalb der Organisation anzunehmen".
— Forscher von Mandiant, JP Glab, Tufail Ahmed, Josh Kelley und Muhammad Umair
SNOW: nicht ein Werkzeug, sondern ein Förderband
Das Anklicken des Links führte zu einer gefälschten Seite des „Mailbox Repair and Sync Utility" – und nur im Browser Microsoft Edge (die Seite erzwang den Wechsel über ein URI-Schema). Das Klicken auf die Schaltfläche „Health Check" sammelte Anmeldedaten und sendete sie an einen S3-Bucket der Angreifer.
Danach entfaltete sich ein modulares Schadprogramm-System SNOW:
- SNOWBELT – bösartige Erweiterung für Chromium-Browser, persistenter Backdoor-Kanal;
- SNOWGLAZE – Python-Tunneler, der eine verschlüsselte WebSocket-Brücke zwischen dem Netzwerk des Opfers und dem C2-Server der Angreifer aufbaute;
- SNOWBASIN – persistenter Backdoor mit der Fähigkeit, Befehle über PowerShell auszuführen, Screenshots zu erfassen und Dateien hochzuladen.
Nachdem sie sich im System festgesetzt hatten, scannten die Angreifer das interne Netzwerk auf die Ports 135, 445 und 3389, führten einen Dump des LSASS-Prozessgedächtnisses durch und extrahierten die Dateien NTDS.dit – praktisch die gesamte Active-Directory-Datenbank mit Anmeldedaten.
77% der Opfer – Führungskräfte der obersten Ebene
Laut Forschern waren zwischen dem 1. März und 1. April 2026 etwa 77% der dokumentierten Vorfälle gegen Top-Manager und leitende Mitarbeiter gerichtet. Die Logik ist einfach: Sie haben den breitesten Zugriff auf sensible Systeme und am wenigsten Zeit, um jede „IT"-Anfrage zu überprüfen.
Die Taktik der Email-Bombardierung gefolgt von „Hilfe" über Teams ist nicht neu. Wie TechJuice feststellte, wurde dieser Ansatz zuvor aktiv von Mitgliedern der Gruppe Black Basta verwendet, die Anfang 2025 ihre Aktivitäten eingestellt hat. UNC6692 hat diese Methode entweder übernommen oder von ehemaligen Mitgliedern geerbt.
Microsoft hat es behoben – aber nicht überall und nicht automatisch
Im Januar 2026 führte Microsoft die Möglichkeit ein, externe Teams-Benutzer direkt über das Defender-Portal zu blockieren und vereinte die Zugriffsverwaltung in einer einzigen Oberfläche – der Tenant Allow/Block List. Davor mussten Administratoren zwischen mehreren Verwaltungskonsolen wechseln.
Das Problem ist, dass die Funktion nicht automatisch aktiviert wird: Es ist Defender for Office 365 Plan 1 oder Plan 2 erforderlich, und auch separate Konfigurationen im Teams Admin Center. Nach Microsoft-Schätzungen nutzen jeden Monat über 320 Millionen Menschen Teams – und ein erheblicher Teil ihrer Organisationen hat die Standardeinstellungen noch nicht geändert.
Der Angriff von UNC6692 nutzte keine technische Sicherheitslücke – nur die Tatsache, dass Teams für externe Kontakte offen ist und Mitarbeiter Nachrichten im „sicheren" Unternehmens-Chat vertrauen. Wenn Ihre Organisation externe Anfragen in Teams nicht beschränkt und Blockierungen über Defender nicht aktiviert hat, ist die Frage nicht „ob das passieren kann", sondern – wann genau kommt dieser „Support-Techniker"?
