Sicherheitspanne: Zwei Hacker-Gruppen operierten unentdeckt im gleichen Netz
22.06.2026 - 22:36:01 | boerse-global.de
Eine beispiellose Sicherheitspanne erschüttert die IT-Welt: Zwei voneinander unabhängige Angreifer operierten gleichzeitig im selben Firmennetzwerk, ohne voneinander zu wissen. Microsofts Spezialeinheit DART deckte den Fall auf.
Parallel-Angriff auf SharePoint-Server
Die Untersuchung förderte Erstaunliches zutage. Seit Mitte 2025 hatte die Gruppe Storm-2603 firmeneigene SharePoint-Server im Visier. Die Hacker nutzten eine ausgeklügelte Tool-Palette: Velociraptor für die Netzwerkanalyse, Cloudflare-Tunneling zur Verschleierung und Zoho Assist für Fernzugriffe. Über SSH via VS Code hielten sie die Verbindung aufrecht und legten nicht autorisierte Administratorkonten an.
Anzeige: Der Fall zeigt: Selbst zwei Hacker-Gruppen können monatelang unentdeckt im selben Netzwerk operieren. Microsofts DART-Team deckte die Parallelangriffe erst durch verknüpfte Telemetriedaten auf. Dieser Report liefert die entscheidenden Schutzmaßnahmen – von der Identitätsüberwachung bis zur Absicherung von Admin-Zugängen. Jetzt kostenlosen Sicherheits-Report anfordern
Doch während Storm-2603 noch aktiv war, schlug eine zweite, völlig unabhängige Gruppe im selben Netzwerk zu. Deren Methode: DLL-Sideloading und maßgeschneiderte Hintertüren. Beide Gruppen nutzten dieselben Einstiegspunkte – und bemerkten einander nicht. Microsofts Analysten konnten die Eindringlinge erst durch die Verknüpfung von Telemetriedaten aus Identitäten, Endgeräten und Cloud-Umgebungen aufspüren. Tägliche Absprachen mit dem betroffenen Unternehmen waren nötig, um die Angreifer schließlich zu stoppen.
Nordkoreaner kapern Software-Lieferkette
Parallel zu diesem Fall wurde ein weiterer schwerwiegender Angriff bekannt. Am 17. Juni 2026 übernahm die nordkoreanische Gruppe Sapphire Sleet (auch bekannt als BlueNoroff) ein Maintainer-Konto im Mastra-npm-Ökosystem.
Innerhalb von nur 45 Minuten veröffentlichten die Angreifer 141 schädliche Pakete. Der Trick: Sie nutzten eine typosquattete Abhängigkeit namens "easy-day-js". Branchenexperten schätzen, dass die betroffenen Pakete wöchentlich rund 8 Millionen Downloads erreichen. Der eingeschleuste Malware-Code aktivierte sich automatisch bei Installation oder Update – und zwar auf Windows, macOS und Linux gleichermaßen. Sein Ziel: Systeminformationen sammeln und Daten aus über 160 Krypto-Browsererweiterungen stehlen.
Neue Windows-Lücke und Clipboard-Schädling
Doch damit nicht genug. Microsoft bestätigte eine weitere Zero-Day-Lücke im Microsoft Defender. Die Schwachstelle CVE-2026-50656 (Codename "RoguePlanet") nutzt eine Race-Condition aus, um Angreifern Systemzugriff auf vollständig gepatchten Windows-10- und Windows-11-Geräten zu verschaffen. Ein Patch ist in Arbeit.
Anzeige: Krypto-Malware wie CryptoBandits.A überwacht Ihre Zwischenablage alle 500 Millisekunden – und ersetzt Wallet-Adressen unbemerkt. Gleichzeitig nutzen Angreifer Zero-Day-Lücken wie CVE-2026-50656 im Microsoft Defender. Erfahren Sie in diesem Report, wie Sie DLL-Sideloading erkennen und Ihre Systeme gegen diese Bedrohungen wappnen. Schutz vor Krypto-Malware und Zero-Days jetzt sichern
Und auch auf der Malware-Ebene gibt es Bewegung: Seit Februar 2026 ist der Schädling CryptoBandits.A aktiv. Er verbreitet sich über manipulierte Verknüpfungsdateien auf USB-Sticks und nutzt einen eingebetteten Tor-Client zur Kommunikation mit Kommando-Servern. Alle 500 Millisekunden überwacht er die Zwischenablage – auf der Suche nach Krypto-Adressen oder Seed-Phrasen. Findet er eine, ersetzt er sie durch eine Adresse der Angreifer. Dabei gleicht er die ersten Zeichen ab, um das Opfer in Sicherheit zu wiegen.
Lehren aus dem Doppelangriff
Die Sicherheitsforscher ziehen eine klare Konsequenz: Unternehmen müssen auf identitätsbasierte Bedrohungserkennung setzen und administrative Zugänge massiv absichern. Denn wenn selbst zwei Hacker-Gruppen im selben Netzwerk unentdeckt bleiben, zeigt das: Die alten Sicherheitskonzepte reichen nicht mehr aus.
