Auf den Punkt: Ein unbekannter Spionageakteur exfiltrierte über fünf Monate hinweg das komplette E-Mail-Postfach eines Börsenmanagers durch getarnte Malware und Cloud-Services, ohne dass es erkannt wurde.
Ein unbekannter Akteur verschaffte sich über fünf Monate Zugriff auf das Outlook-Postfach einer Führungskraft bei einem globalen Börsenkonzern und suchte Informationen zu Börsennotierungen und marktbewegenden Ereignissen. Die Angreifer nutzten Consumer-Cloud-Services und gefälschte Systemdienste, um ihre Aktivitäten vor Sicherheitssoftware zu verbergen.
Cyberkriminelle infiltrierten das E-Mail-Konto eines Top-Managers an einer internationalen Börse von Oktober 2025 bis März 2026. Das gemeinsame Bedrohungsanalyse-Team von Symantec und Carbon Black (beide Broadcom-Tochtergesellschaften) untersuchte den Fall und dokumentierte eine Verweilzeit der Angreifer von etwa 150 Tagen. Den Ermittlungen zufolge begannen die schädlichen Aktivitäten am 10. Oktober 2025 mit einer auf dem Host-Rechner installierten Schadsoftware, die sich als legitime Adobe- und OneDrive-Anwendungen tarnte. Die Befehls- und Kontrollkanäle wurden erst am 12. November 2025 etabliert, danach startete die systematische Datenabschöpfung.
Für CISOs und Sicherheitsverantwortliche ist dieser Vorfall hochrelevant, da er zeigt, wie zielgerichtete Spionagegruppen Executive-Konten als strategische Informationsquellen nutzen. Das Postfach einer Führungskraft an einer Börse enthält potenziell nicht-öffentliche Informationen über Börsennotierungen, Enforcement-Maßnahmen und marktbewegende Ereignisse – Daten, die für Finanzspionage wertvoll sind. Ein Angreifer mit monatelangem Zugriff auf eine solche Mailbox gewinnt dabei nicht nur einzelne Informationen, sondern ein „nahezu vollständiges Bild des Arbeitslebens“ der Zielperson und der strategischen Ausrichtung der Organisation.
Die Angreifer verwendeten ausgefeilte Verschleierungstechniken: Datensätze wurden in bewusst kleinen Paketen über Dropbox und OneDrive exfiltriert, um unter die Erkennungsschwellen von Sicherheitssoftware zu fallen. Der kumulative Effekt über fünf Monate war ein nahezu lückenloser Diebstahl des gesamten Outlook-Postfachs in schrittweise archivierten Teilen. Die Persistierung erfolgte durch automatisierte Systemaufgaben, die als harmlose Dienste von Adobe, Lenovo und OneDrive getarnt wurden und routinemäßigen Admin-Überprüfungen standhielten.
Die letzte dokumentierte Aktivität war am 19. März 2026, als neue Hintertüren installiert wurden, danach brach der Datenstrom ab. Die genaue Einstiegsvektor bleibt Gegenstand laufender Ermittlungen; auch die identifizierende Gruppe und die betroffene Börse wurden in dem Bericht nicht öffentlich gemacht. Symantec und Carbon Black veröffentlichten jedoch technische Indikatoren für eine Kompromittierung (Indicators of Compromise – IoCs), um andere Finanzinstitutionen und Börsen vor ähnlichen Angriffsmustern zu warnen.
Quelle: www.it-daily.net · Erschienen 9. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.