Hacker nutzen Microsoft Teams, um Organisationen zu infiltrieren und sich als IT-Helpdesk-Mitarbeiter auszugeben

Eine neu identifizierte Bedrohungsgruppe, UNC6692, wurde dabei ertappt, wie sie eine ausgeklügelte mehrstufige Eindringkampagne durchführt, die Microsoft Teams-Impersonation, eine benutzerdefinierte modulare Malware-Suit Eine neu identifizierte Bedrohungsgruppe, UNC6692, wurde dabei ertappt, wie sie eine ausgeklügelte mehrstufige Eindringkampagne durchführt, die Microsoft Teams-Impersonation, eine benutzerdefinierte modulare Malware-Suite und die Missbrauch von Cloud-Infrastrukturen nutzt, um Unternehmensnetzwerke tiefgreifend zu durchdringen, und das alles ohne die Ausnutzung einer einzigen Software-Schwachstelle.

Die Google Threat Intelligence Group (GTIG) und Mandiant-Forscher enthüllten die Kampagne am 22. April 2026 und zeigten, wie UNC6692 systematisch das Vertrauen der Mitarbeiter in alltägliche Unternehmenswerkzeuge manipuliert, um vollen Domain-Zugriff zu erlangen.

Ende Dezember 2025 startete UNC6692 eine Massen-E-Mail-Bombing-Kampagne gegen seine Ziele und überflutete absichtlich Posteingänge, um ein Gefühl der Dringlichkeit und Verwirrung zu erzeugen.

Als die Opfer überfordert und abgelenkt waren, versetzte der Bedrohungsakteur den entscheidenden Schlag, indem er eine Phishing-Nachricht direkt über Microsoft Teams sendete, wobei der Angreifer sich als Mitarbeiter des IT-Helpdesks ausgab und Hilfe bei der E-Mail-Flut anbot. Diese Technik ist kein Zero-Day-Exploit oder eine Softwarelücke.

Wie Microsoft in seinem eigenen Advisory vom April 2026 feststellte, missbraucht die Kampagne legitime externe Kollaborationsfunktionen in Teams, indem Angreifer Benutzer davon überzeugen, mehrere, deutlich dargestellte Sicherheitshinweise zu überschreiben.

Opfer akzeptierten die Teams-Chat-Einladung von einem Konto außerhalb ihrer Organisation, eine scheinbar geringfügige Handlung mit katastrophalen Folgen.