Cloud Atlas: Hacker manipulieren Windows RDP für versteckten Zugriff

Hacker manipulieren Kernkomponenten von Windows, um unentdeckt in Unternehmensnetze einzudringen. Besonders betroffen sind Finanzinstitute und Regierungsbehörden.

Cybersicherheitsforscher haben eine gefährliche Eskalation der Spionagetaktiken aufgedeckt. Die als Cloud Atlas bekannte Hackergruppe manipuliert das Remote Desktop Protocol (RDP), um dauerhaften und versteckten Zugriff auf kompromittierte Systeme zu erhalten. Die am 25. Mai 2026 veröffentlichten Berichte zeigen, dass die Gruppe Windows-Kernkomponenten verändert, um mehrere gleichzeitige RDP-Sitzungen auf befallenen Rechnern zu ermöglichen – ohne dass der Nutzer etwas davon merkt.

Die gezielte Manipulation von Systemdateien zeigt, wie verwundbar veraltete oder falsch konfigurierte Windows-Strukturen sind. Wie Sie Ihr System auf den neuesten Stand bringen und den Wechsel auf das sicherere Windows 11 ohne Datenverlust meistern, erfahren Sie in diesem Gratis-Report. Windows 11 Komplettpaket jetzt kostenlos anfordern

Cloud Atlas patcht Windows-Systemdateien

Die seit 2014 aktive APT-Gruppe (Advanced Persistent Threat) hat ihre Aktivitäten gegen Regierungs- und Diplomatie-Einrichtungen in Russland und Belarus deutlich verstärkt. In Kampagnen zwischen 2025 und 2026 nutzt die Gruppe ein spezielles PowerShell-Skript namens rdp_new.ps1, um die Datei termsrv.dll auf befallenen Rechnern zu manipulieren. Diese Modifikation umgeht die Standardbeschränkungen von Windows und ermöglicht mehrere versteckte RDP-Sitzungen.

Der Einbruch beginnt meist mit Phishing-E-Mails, die schädliche ZIP- oder LNK-Dateien enthalten. Häufig nutzt die Gruppe ältere Sicherheitslücken wie CVE-2018-0802 für den initialen Zugriff. Ist die Gruppe erst einmal im Netzwerk, setzt sie ein mehrstufiges Toolkit für Aufklärung und Datendiebstahl ein. Der „PowerShower“-Backdoor dient der ersten Systemanalyse, umgeht die Benutzerkontensteuerung (UAC) über das Dienstprogramm fodhelper.exe und extrahiert SAM-Datenbanken zur Erlangung von Zugangsdaten.

Für die dauerhafte Kommunikation nutzt die Gruppe eine ausgeklügelte Tunnelinfrastruktur mit Reverse-SSH, RevSocks und Tor. Der Datendiebstahl erfolgt über spezialisierte Schadprogramme wie „VBCloud“ für Dokumente und „PowerCloud“, das Google Sheets als Plattform für gestohlene Zugangsdaten missbraucht. Sicherheitsanalysten von Securelist haben spezifische Infrastrukturen identifiziert, darunter die Domains tenkoff.org und cloudguide.in sowie die IP-Adressen 194.102.104[.]207 und 46.17.45[.]56.

Explosionsartiger Anstieg von RDP-Angriffen weltweit

Die Taktiken von Cloud Atlas spiegeln einen breiteren Trend wider: RDP bleibt der primäre Einfallstor für staatlich gesteuerte und kriminelle Angreifer. Aktuelle Daten von Kaspersky zeigen das Ausmaß der Bedrohung. Allein in Indien verzeichneten Unternehmen im Jahr 2025 12.154.216 RDP-Angriffe. Mehr als 1,2 Millionen davon waren ausdrücklich ausnutzungsbasierte Attacken.

Jaydeep Singh von Kaspersky betont, dass die wachsende Angriffsfläche RDP zu einer kritischen Priorität für Abwehrstrategien gemacht habe. Als Reaktion auf diese steigenden Zahlen hat die indische Zentralbank Cybersicherheit zu einem zentralen Pfeiler ihrer „Utkarsh 2029“-Strategie erklärt, die von 2026 bis 2029 läuft. Ziel ist es, die Finanzinfrastruktur gegen die von APT-Gruppen verfeinerten Methoden des dauerhaften Zugriffs zu härten.

Neben RDP-Manipulationen sind weitere identitätsbasierte Bedrohungen aufgetaucht. Das FBI warnte vor einer Phishing-as-a-Service (PhaaS)-Plattform namens „Kali365“, die seit April 2026 aktiv ist. Diese Plattform greift Microsoft-365-Umgebungen an, indem sie OAuth-Tokens über den Device-Code-Flow kapert und damit die Multi-Faktor-Authentifizierung (MFA) umgeht. Einmal erbeutet, verschaffen die Tokens dauerhaften Zugriff auf Teams, Outlook und OneDrive-Daten – koordiniert über Telegram.

Da Cyberkriminelle gezielt Schwachstellen in Unternehmensnetzwerken und Cloud-Diensten ausnutzen, ist ein proaktiver Schutz für KMU wichtiger denn je. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Sicherheitslücken schließen und Ihr Unternehmen ohne teure Investitionen effektiv absichern. Gratis-E-Book: IT-Sicherheit im Unternehmen stärken

Gezielte Spionage und Cloud-Infrastruktur-Missbrauch

Jüngste Analysen von Sicherheitsfirmen wie Mandiant und Palo Alto Networks' Unit 42 haben weitere spezialisierte Spionagekampagnen aufgedeckt. Ein mit dem Iran in Verbindung gebrachter Akteur namens „Screening Serpens“ (auch als UNC1549 bekannt) setzt zwischen Februar und April 2026 den „MiniUpdate“-Trojaner gegen Ziele in den USA, Israel und den Vereinigten Arabischen Emiraten ein.

Screening Serpens nutzt Techniken wie AppDomainManager-Hijacking und DLL-Seitenladung, um unentdeckt zu bleiben. Die Kommando- und Kontrollinfrastruktur (C2) wird auf legitimen Azure-Websites gehostet, was die Erkennung durch Standard-Netzwerküberwachungstools erschwert. Parallel dazu wurde ein weiterer Akteur namens „Storm-2949“ beobachtet, der Azure-RBAC-Berechtigungen (Role-Based Access Control) missbraucht. Durch die Nutzung von „Owner“-Rollen, die durch Social Engineering oder MFA-Ermüdung erlangt wurden, extrahiert die Gruppe Geheimnisse aus Azure Key Vaults, darunter Datenbank-Strings und Zugangsdaten, und schleust sie mit Python-Skripten und SAS-Tokens aus.

Auch Lieferkettenangriffe in der Softwareentwicklung sind ein wachsendes Problem. Berichte vom 25. Mai 2026 beschreiben eine „TrapDoor“-Kampagne, die Schadsoftware zum Diebstahl von Zugangsdaten über die Paketmanager npm, PyPI und CratesIO verbreitet. Die Lazarus-Gruppe setzt derweil „RemotePE“ ein, einen speicherresidenten Trojaner, der gezielt Finanz- und Kryptowährungsunternehmen angreift, um die Erkennung durch traditionelle datenträgerbasierte Antivirenprogramme zu vermeiden.

Branchenweite Auswirkungen und neue Schwachstellen

Die Kombination aus RDP-Manipulation und Cloud-basierter Ausnutzung stellt eine bedeutende Verschiebung dar. Während frühere Kampagnen auf einfaches Credential-Stuffing setzten, modifizieren moderne Angreifer zunehmend Systemdateien und nutzen spezifische Cloud-Konfigurationen aus, um über längere Zeiträume in Netzwerken verborgen zu bleiben.

In Italien zerschlugen die Behörden am 22. Mai 2026 ein groß angelegtes digitales Piraterienetzwerk namens „CINEMAGOAL“. Obwohl es sich in erster Linie um ein kriminelles Unternehmen handelte, das illegale Streaming-Dienste anbot, nutzte das Netzwerk virtuelle Maschinen und legitime Abonnementkonten von Anbietern wie Sky und Netflix zur Verbreitung von Inhalten. Dies zeigt die kreativen Wege, auf denen Angreifer Virtualisierung und Kontozugriff nutzen.

Zusätzlich wurde im Mai 2026 eine Zero-Click-Sicherheitslücke in WhatsApp auf iOS-16-Geräten gemeldet. Diese Angriffskette, die die Schwachstellen CVE-2025-43300 und CVE-2025-55177 umfasst, ermöglichte die Extraktion von kryptografischem Material für Session-Hijacking ohne jegliche Benutzerinteraktion.

Die Entdeckung kritischer Schwachstellen in weit verbreiteter Serversoftware erschwert die Verteidigung weiter. Am 25. Mai 2026 enthüllten Forscher eine heap-basierte Pufferüberlauf-Schwachstelle in NGINX, genannt „Nginx-poolslip“ (CVE-2026-9256). Dieser Fehler, der NGINX Open Source bis Version 1.30.1 betrifft, könnte Denial-of-Service-Angriffe oder potenziell die Ausführung von Remote-Code ermöglichen. Ähnlich verhält es sich mit einer Schwachstelle im KnowledgeDeliver Learning Management System (CVE-2026-5426), die von Mandiant identifiziert wurde. Hier ermöglichten hartcodierte Maschinenschlüssel eine nicht authentifizierte Remote-Code-Ausführung über ViewState-Deserialisierung.

Ausblick: Unternehmen müssen umdenken

Da Bedrohungsakteure wie Cloud Atlas und Screening Serpens ihre Nutzung legitimer Systemwerkzeuge für böswillige Zwecke weiter verfeinern, betonen Branchenexperten die Notwendigkeit einer detaillierteren Überwachung interner Windows-Prozesse und Cloud-Berechtigungen. Die Nutzung von RDP als dauerhaften Zugriffsvektor erfordert nicht nur eine starke Authentifizierung, sondern auch die Überwachung von Systemdateien wie termsrv.dll auf unbefugte Änderungen.

Der Aufstieg von PhaaS-Plattformen wie Kali365 zeigt, dass MFA keine definitive Barriere mehr gegen ausgeklügelte Phishing-Angriffe darstellt. Unternehmen wird zunehmend geraten, bestimmte Authentifizierungsabläufe wie den Device-Code-Flow zu blockieren, wenn sie nicht unbedingt für Geschäftsprozesse erforderlich sind. Darüber hinaus wird die Abhängigkeit von legitimen Cloud-Diensten für C2-Infrastrukturen, wie bei Azure und Google Sheets zu sehen, wahrscheinlich eine Neubewertung erzwingen, wie Sicherheitsteams den Datenverkehr zu vertrauenswürdigen Domänen kategorisieren und überwachen. In den kommenden Jahren werden Strategien wie die „Utkarsh 2029“-Initiative der indischen Zentralbank als Maßstab dienen, ob institutionelle Härtung mit der rasanten Entwicklung von RDP- und identitätsbasierter Ausbeutung Schritt halten kann.

de | wissenschaft | 69419129 |