Operation TaxShadow: Gefälschte Steuerportale schleusen Malware ein

Eine hochentwickelte Phishing-Kampagne namens Operation TaxShadow nutzt gefälschte Steuerportale, um Schadsoftware einzuschleusen. Sicherheitsforscher von CYFIRMA entdeckten die Attacken am 20. Mai 2026. Im Visier stehen vor allem Unternehmen und Behörden in Indien – doch die Täter haben offenbar ein größeres Ziel: Steuerzahler in Europa, Asien und Australien.

Raffinierte Technik macht Malware unsichtbar

Die Angreifer setzen auf mehrstufige Schadsoftware, die herkömmliche Virenscanner umgeht. Der Ablauf ist perfide: Eine Phishing-Mail lockt Opfer auf ein täuschend echt aussehendes Steuerportal. Dort sollen Nutzer eine ZIP-Datei herunterladen. Sie enthält eine ausführbare Datei namens „?? ?????.exe“ – Hindi für „Steuererklärung“ – sowie Hilfsdateien wie SbieDll.dll und SbieDll.bin.

Die Malware nutzt ausgeklügelte Techniken wie DLL Search Order Hijacking und API Hooking, um sich im System festzusetzen. Besonders tückisch: Sie läuft vollständig im Arbeitsspeicher und hinterlässt kaum Spuren auf der Festplatte. „Die Verschlüsselung ist extrem schwer zu knacken“, erklären die Forscher. Sie verwenden LLVM-basierte Kontrollfluss-Verschleierung und mutierte RC4-Verschlüsselung.

Da Kriminelle immer raffiniertere Methoden wie Phishing-as-a-Service nutzen, stehen Unternehmen und Behörden vor wachsenden Sicherheitsherausforderungen. Dieser kostenlose Leitfaden zeigt in vier Schritten, wie Firmen Angriffsszenarien entlarven und Phishing-Attacken effektiv stoppen können. Anti-Phishing-Paket jetzt gratis herunterladen

Die Kommunikation mit den Steuerungs-Servern läuft über WebSockets. Die Sicherheitsexperten identifizierten die Domains guhxmg.com und naiqja.icu als Teil der Infrastruktur.

Wer steckt dahinter?

Die genaue Herkunft bleibt unklar. Die Forscher äußern jedoch „moderate Zuversicht“, dass chinesischsprachige Täter verantwortlich sind. Im Code der Malware fanden sich entsprechende Sprach-Artefakte.

Parallel dazu warnt das Sicherheitsunternehmen Proofpoint vor der Gruppe TA4922. Diese chinesischsprachige Bande hat es auf Organisationen in Ostasien und Europa abgesehen – darunter Japan, Taiwan, Deutschland und Großbritannien.

TA4922 tarnt sich als Steuerbehörde oder Personalabteilung. Ihr Arsenal umfasst die Atlas RAT – eine modulare Hintertür, die per DLL-Sideloading eingeschleust wird – sowie die Loader RomulusLoader und SilentRunLoader. Diese greifen gezielt Browser-Daten ab, etwa gespeicherte Passwörter aus Google Chrome.

Phishing als Dienstleistung

Die Bedrohungslage wird durch sogenannte Phishing-as-a-Service-Plattformen (PaaS) zusätzlich verschärft. Die Plattform Kali365 hat ihr Angebot erweitert und greift nun auch Okta Single-Sign-On sowie den russischen Messengerdienst MAX Messenger an. Die Angreifer nutzen OAuth-2.0-Geräte-Autorisierungsflüsse aus, um Zwei-Faktor-Authentifizierung zu umgehen.

Steuerfristen als Einfallstor

In Australien beobachteten Marktforscher diese Woche einen deutlichen Anstieg steuerbezogener Phishing-Betrügereien. „Die Täter nutzen die administrativen Zyklen der Steuerbehörden systematisch aus“, warnen die Experten.

Die Sicherheitsfirmen haben inzwischen Hunderte schädliche Hosts identifiziert. Ein spezielles Exfiltration-Tool namens „NovosibyrskyMoneyBot“ – ein Telegram-Bot – dient den Angreifern zur Verwaltung gestohlener Daten.

Angesichts der Professionalisierung von Hackergruppen wie TA4922 wird proaktiver Schutz für die IT-Infrastruktur unerlässlich. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Sicherheitslücken schließen und Ihr Unternehmen ohne hohe Zusatzinvestitionen vor Cyberangriffen schützen. Gratis Cyber-Security E-Book sichern

Die Botschaft der Sicherheitsexperten ist eindeutig: Seien Sie misstrauisch bei unaufgeforderten Nachrichten zu Steuererklärungen oder angeblichen Rechtsverstößen. Besonders wenn Sie aufgefordert werden, Software herunterzuladen oder Zugangsdaten auf externen Seiten einzugeben.

de | wissenschaft | 69485181 |