Am 8. Oktober 2025 deckten Cybersicherheitsforscher eine ausgeklügelte Phishing-Kampagne auf, die auf mehrere Organisationen abzielte, die mit den Kriegs- und Wiederaufbaubemühungen der Ukraine in Verbindung stehen. Die Kampagne, die unter dem Namen PhantomCaptcha bekannt ist, richtete sich an Hilfsorganisationen wie das ukrainische Büro des Kinderhilfswerks der Vereinten Nationen (UNICEF), den Norwegischen Flüchtlingsrat, das Schadensregister des Europarats für die Ukraine und regionale Regierungsverwaltungen in Donezk, Dnipropetrowsk, Poltawa und Mykolajiw.
Forscher von SentinelOne berichteten, dass die Angreifer gefälschte Rekrutierungsnachrichten nutzten und offizielle Mitteilungen fälschten, mit PDF-Dateien und gefälschten Links, die die Opfer zu bösartigen Remote-Access-Trojanern (RATs) verleiteten. Die Kampagne kombiniert Social Engineering und fortschrittliche Malware auf besonders gezielte Weise.
Die Kampagne verwendete hauptsächlich gut formulierte E-Mails, die unter anderem aus dem Büro des ukrainischen Präsidenten zu stammen schienen. In den E-Mails wurden PDF-Dokumente mit einem eingebetteten Link angehängt. Als der Link angeklickt wurde, wurde das Opfer auf eine gefälschte “Captcha”-Seite (zoomconference.app) weitergeleitet, die sich als legitime Videokonferenzplattform ausgab. Diese Seite löste dann eine WebSocket-Verbindung zu einem Remote-Server aus und installierte einen PowerShell-Befehl, der zur Installation von Malware führte.
Nachdem das Opfer den PowerShell-Befehl ausgeführt hatte, rief der Downloader der ersten Stufe eine sekundäre Nutzlast von einem Remote-Server ab. Es stellte sich heraus, dass es sich bei dieser Nutzlast um eine spezialisierte WebSocket-basierte RAT handelte, die auf einer von Angreifern kontrollierten Infrastruktur installiert war. Diese Malware gab dem Bedrohungsakteur die volle Fernsteuerung und ermöglichte so den Dateidiebstahl, die Überwachung und die weitere Bereitstellung von Nutzlasten.
Interessanterweise war die gefälschte Domain hinter dem Videokonferenz-Köder nur einen einzigen Tag aktiv, bevor sie verschwand, im Gegensatz zu mehreren Monaten Vorbereitungsarbeit, einschließlich Domain-Registrierungen im März 2025. Das deutet auf eine hohe Betriebssicherheit und langfristige Planung der Angreifer hin.
Hilfsgruppen wurden zur Zielscheibe
Das sind nicht nur zufällige Opfer. Bei den Zielparteien handelt es sich um Organisationen, die in vom Krieg betroffenen Regionen der Ukraine tätig sind oder diese unterstützen und über eine erhebliche internationale Präsenz, Finanzströme und Geberdaten verfügen. Der Zugriff auf ihre Netzwerke könnte Angreifern wertvolle Informationen liefern oder ein Druckmittel für weitere Eindringlinge nutzen.
Bedrohungsforscher wiesen darauf hin, dass die Angreifer durch das Eindringen in eine Hilfsgruppe Informationen wie Spenderlisten, Regierungskorrespondenz, Finanzunterlagen und Projektdaten sammeln könnten. Diese Vermögenswerte sind sowohl für Spionage als auch für Finanzkriminalität attraktiv. Und angesichts der Tatsache, dass einige der Ziele in Regionen operieren, die in den Konflikt mit Russland verwickelt sind, könnte das Eindringen umfassenderen strategischen Zielen dienen, die über den einfachen Diebstahl hinausgehen.
Was macht diese Kampagne einzigartig?
Im Gegensatz zu Massen-Phishing-Kampagnen, bei denen Tausende von E-Mails weit verbreitet werden, scheint der PhantomCaptcha-Angriff sehr zielgerichtet und maßgeschneidert zu sein. Die erste Domainregistrierung erfolgte um den 27. März 2025, was auf monatelange Erkundungen vor dem eigentlichen Streik hindeutet. Zur Infrastruktur des Angreifers gehörte auch “princess-mens.click”, eine Domain, die zur Bereitstellung von Android-Sammlungs-Apps verwendet wird, die in der Lage sind, Geolokalisierung, Kontakte, Anrufprotokolle, Medien und installierte Apps von Opfern zu sammeln.
Die Verwendung wichtiger Webtechnologien wie WebSockets für die RAT, legitim aussehende Abfangseiten und PowerShell-Ketten ohne Anmeldeinformationen zeigt, dass die Angreifer Social Engineering, leichtgewichtige Skripterstellung und Stealth miteinander verbinden. Die Kombination aus gefälschten Zoom-Links und CAPTCHA-Seiten erzeugte sowohl ein Gefühl der Dringlichkeit als auch der Legitimität, zwei Schlüsselfaktoren für erfolgreiches Phishing.
Was die Organisationen jetzt tun sollten
Für Hilfsorganisationen, gemeinnützige Organisationen und alle Einrichtungen, die in Konflikt- oder Hilfsgebieten tätig sind, bietet dieser Angriff mehrere Lehren:
- Überprüfen Sie E-Mails zur Stellenbeschaffung sorgfältig, insbesondere wenn sie aus unbekannten Domänen stammen oder Anhänge enthalten.
- Aktivieren Sie niemals Makros, lassen Sie die Ausführung von Skripten zu und klicken Sie nicht auf Links aus Dokumenten, die Sie unerwartet erhalten haben, auch nicht von vertrauenswürdigen Kontakten.
- Überwachen Sie Geräteregistrierungen, Authentifizierungs-App-Setups und WebSocket-Verbindungen in großem Umfang, um ungewöhnliche eingehende Signale zu erkennen.
- Behandeln Sie Videokonferenzplattformen und Spendensysteme als potenzielle Angriffsvektoren, nicht nur als interne Kommunikationstools.
- Führen Sie regelmäßige Audits von Geräten, Proxy-Protokollen und Endpunktaktivitäten auf Anzeichen eines asymmetrischen Eindringens durch – denken Sie daran, dass Angreifer als legitime Benutzer auftreten können.
Wenn viel auf dem Spiel steht, muss die Cybersicherheit entsprechend voranschreiten. Angreifer sind nicht mehr nur auf finanziellen Gewinn aus. Sie infiltrieren Unternehmen, indem sie Eins-zu-Eins-Social Engineering und maßgeschneiderte Malware kombinieren. Das erfordert, dass die Verteidiger von “massenhaften” präventiven Taktiken zu “maßgeschneiderten” Reaktionsstrategien übergehen.
Die PhantomCaptcha-Kampagne beweist, dass selbst vertrauenswürdige Institutionen, die in humanitären Funktionen tätig sind, weiterhin dem Risiko komplexer Angriffe ausgesetzt sind. Die Abhängigkeit von legitim aussehenden Plattformen wie Zoom und gefälschten Cloud-CAPTCHA-Prüfungen zeigt, wie die Infrastruktur, die Menschen für sicher halten, gegen sie gewendet werden kann. Bei der Verteidigung geht es in diesem Umfeld um ständige Überprüfung, nicht um Annahmen.