ARToken-Plattform: Cisco entdeckt hochprofessionelle Phishing-as-a-Service
01.07.2026 - 15:23:57 | boerse-global.de
Das System ist Teil des EvilTokens-Ökosystems und zielt gezielt auf Microsoft-365-Umgebungen ab. Der Fund kommt zu einem Zeitpunkt, an dem die Zahl verwandter Angriffe innerhalb eines Jahres um 1.380 Prozent gestiegen ist.
Hochprofessionelle Angriffsinfrastruktur
Die ARToken-Plattform funktioniert als „BEC-as-a-Service" (BECaaS) und stellt ihren Nutzern mehr als 80 API-Schnittstellen zur Verfügung. Damit lassen sich komplexe Kampagnen automatisieren. Besonders perfide: Das System ermöglicht Device-Code-Phishing und die Persistenz über Primary Refresh Tokens (PRT). Angreifer behalten so selbst dann Zugriff auf kompromittierte Konten, wenn die ursprünglichen Zugangsdaten geändert werden.
Ein siebenstufiger Anti-Analyse-Mechanismus soll die Erkennung durch Sicherheitssoftware verhindern. Ist ein Account erst einmal geknackt, automatisiert die Plattform die weiteren Schritte: Sie manipuliert Postfachregeln, um betrügerische Nachrichten zu verstecken, und exfiltriert Daten aus SharePoint. Die Köder sind maßgeschneidert – oft imitieren sie legitime Lieferantenbeziehungen oder Rechnungen, um Buchhaltungsabteilungen zu täuschen.
Cyberkriminalität wird zum Großkonzern
Die Entdeckung von ARToken reiht sich in einen globalen Trend ein: Cyberkriminelle organisieren sich zunehmend wie Unternehmen. Branchenberichte zeigen, dass diese Kartelle inzwischen eigene Abteilungen für Personalwesen, Finanzen, DevOps und Kundenservice unterhalten. Sie nutzen CRM-Systeme zur Verwaltung von Investmentbetrug und setzen Künstliche Intelligenz ein, um lokalisierte Deepfake-Inhalte für Social-Engineering-Angriffe zu erstellen.
Die ARToken-Plattform automatisiert Phishing mit 80 APIs – und bleibt durch sieben Anti-Analyse-Stufen oft unerkannt. Bevor Ihre Konkurrenz die Lücke ausnutzt: Hier erfahren Sie, wie Sie Token-Diebstahl erkennen und Ihre Microsoft-365-Umgebung absichern. Jetzt kostenlosen Sicherheits-Report anfordern
In Südostasien deckten Ermittler von AP und FRONTLINE auf, dass Betrugskomplexe in Myanmar US-Technologie nutzen – darunter KI-Modelle und Satelliten-Internetdienste – um industriellen Betrug zu betreiben. Schätzungen zufolge bearbeitet jeder Betrüger dort monatlich rund 50.000 Opfer. Kaspersky stellte zudem fest, dass 43 Prozent der Unternehmen glauben, Angreifer setzten KI ein, um ihre Kampagnen effektiver und schneller zu machen.
Identitätsdiebstahl als Einfallstor Nummer eins
Aktuelle Daten zeigen: Identitätsbasierte Angriffe und Cloud-Sicherheitslücken werden zum Hauptvektor für Unternehmenskompromittierungen. Huntress berichtete von einer massiven Password-Spray-Kampagne zwischen dem 12. und 21. Juni 2026. Dabei gab es mehr als 81 Millionen Anmeldeversuche gegen die Azure Command-Line Interface (CLI). Die Kampagne – mit einem 155-fachen Volumenanstieg im Vergleich zu den letzten sechs Monaten – kompromittierte 78 Konten in Dutzenden Organisationen. Ausgenutzt wurde dabei der OAuth-ROPC-Flow.
Bitdefender beziffert die Auswirkungen auf die Privatwirtschaft: 35,9 Prozent der Unternehmen haben bereits BEC-Vorfälle erlebt, 59,2 Prozent waren mit KI-gesteuerten Social-Engineering-Angriffen konfrontiert. Trotz dieser Risiken bleibt die interne Transparenz mangelhaft: Fast die Hälfte der befragten Unternehmen hat keinen klaren Überblick über die Nutzung von „Shadow AI" in ihren Netzwerken.
81 Millionen Anmeldeversuche in zehn Tagen – Password-Spraying auf Azure CLI kompromittierte 78 Konten. Ohne DMARC und Token-Sicherheit sind auch Sie betroffen. Dieser Report zeigt, wie Sie Ihre Identitätsinfrastruktur gegen Phishing-as-a-Service wappnen. DMARC- und Token-Sicherheitsleitfaden sichern
Sicherheitslücken auch bei großen Unternehmen
Proofpoint warnte zudem vor anhaltenden Sicherheitslücken im E-Mail-Verkehr selbst bei Indiens größten Firmen. Während die Cyberkriminalität in Indien 2025 um 24 Prozent zunahm, fehlt bei rund 41 Prozent der Top-100-Unternehmen des Landes die strengste Form der DMARC-Richtlinie (Domain-based Message Authentication, Reporting & Conformance). Das macht sie anfällig für genau die Art von Identitätstäuschungen, die Plattformen wie ARToken im großen Stil ermöglichen.
