Fünf Monate lang saß ein Angreifer unsichtbar im Postfach eines leitenden Managers einer großen globalen Börse – und niemand bemerkte es. Dieser Cyberangriff entwickelte sich zu einer leisen, fast schon geduldigen Spionageoperation. Kein schneller Schlag, kein auffälliger Datenklau, kein Erpressungsversuch. Stattdessen: kleine, unauffällige Schritte über Monate hinweg, eingebettet in den normalen digitalen Alltag.

Die Entdeckung dieser Kampagne wurde diese Woche von Sicherheitsexperten der Threat-Hunter-Teams von Symantec und Carbon Black veröffentlicht. Ihr Fazit ist eindeutig: Es ging nicht um Geld, sondern um Informationsgewinnung. Alles deutet auf gezielte Spionage hin.

Börsen-Cybersecurity: Warum ein E-Mail-Postfach so wertvoll ist

Das Ziel war dabei alles andere als trivial. Das E-Mail-Postfach eines Börsenmanagers ist ein Knotenpunkt sensibler Informationen: unveröffentlichte Börsennotierungen, regulatorische Vorgänge, interne Entscheidungsprozesse, Vertragsdetails und strategische Planungen, dazu Kalender und Kontakte. Wer hier liest, liest gewissermaßen die Zukunftsoptionen eines Finanzplatzes mit.

Angriffsbeginn Oktober 2025: SYSTEM-Rechte und versteckte Malware

Der Angriff begann offenbar bereits am 10. Oktober 2025. Zu diesem Zeitpunkt lief auf dem kompromittierten System bereits Schadsoftware mit höchsten Windows-Rechten, getarnt als scheinbare Update-Dienste bekannter Programme. Besonders brisant: Die Angreifer hatten SYSTEM-Rechte, also volle Kontrolle über das Gerät. Wie genau sie ursprünglich eindringen konnten, bleibt unklar.

Vermutet wird lediglich, dass der Einstieg über ein bereits zuvor kompromittiertes Gerät im Unternehmensumfeld erfolgte und sich der Angreifer dann lateral weiterbewegte. Spätestens ab dem 12. November nahm die Operation Fahrt auf.

Datenexfiltration über Dropbox und OneDrive: Der stille Abfluss

Ab diesem Zeitpunkt begann die systematische Ausleitung von Daten. Ein Dropbox-API-Token wurde gestohlen, Daten wurden über Kommandozeilentools hochgeladen, und ein speziell entwickeltes Werkzeug kam zum Einsatz: ein Mailbox-Extraktor, der auf einer legitimen .NET-Bibliothek basierte und Outlook-Datenbanken (PST/OST) auslesen konnte. Jede Ausführung war dabei präzise gesteuert – mit Passwort- und Zeitraumangaben.

Der Trick lag in der Zergliederung. Statt das komplette Postfach auf einmal zu kopieren, holte sich der Angreifer jeweils nur kleine Zeitabschnitte. Der erste Durchlauf erfasste alle E-Mails ab August 2025. Danach kehrte der Angreifer alle zwei bis vier Wochen zurück und kopierte jeweils nur die neu hinzugekommenen Nachrichten. Acht weitere Exfiltrationen folgten bis Februar 2026.

So entstand ein nahezu kontinuierliches Abbild des gesamten Postfachs – ohne große Datenmengen auf einmal zu erzeugen, die Sicherheitsmechanismen hätten alarmieren können.

Stealth-Cyberangriff: Wie Angreifer Cloud-Dienste zur Tarnung nutzen

Auch die Tarnung war sorgfältig gewählt. Geplante Aufgaben im System gaben sich als legitime Dienste von Adobe, Lenovo oder OneDrive aus. Für den Datenabfluss nutzte der Angreifer nicht etwa auffällige eigene Server, sondern etablierte Cloud-Dienste wie Dropbox und Microsoft OneDrive. Selbst die Netzwerkverbindungen wurden so gestaltet, dass sie wie normaler Cloud-Verkehr wirkten – teilweise sogar ohne typische DNS-Abfragen, die Sicherheitslösungen hätten erkennen können.

Ein weiterer Testlauf über einen öffentlichen Filehoster wurde zwar einmal durchgeführt, aber schnell wieder verworfen. Spätestens Mitte März 2026 tauchte noch eine neue Hintertür auf, die jedoch nicht mehr aktiviert wurde – ein mögliches Zeichen dafür, dass der Zugriff zu diesem Zeitpunkt bereits verloren gegangen war.

Advanced Persistent Threat (APT): Eingesetzte Hacking-Tools im Überblick

Die eingesetzten Werkzeuge deuten insgesamt auf ein breiteres Arsenal hin: Tools zum Abgreifen von Zugangsdaten, zum Umgehen von Windows-Sicherheitsmechanismen und zur Tarnung von Netzwerkverkehr. Doch ob sie hier vollständig genutzt wurden, bleibt offen.

Auffällig ist vor allem eines: Es gab keinen Exploit eines bekannten Softwarefehlers, kein klassisches „CVE-Szenario“, das sich einfach hätte patchen lassen. Stattdessen wurde ein einzelnes, hochsensibles Ziel über Monate hinweg ausspioniert – still, verteilt, schwer greifbar.

Cyber-Spionage ohne CVE: Warum klassische Patches hier nicht helfen

Die Brisanz dieser Operation liegt nicht in einer spektakulären Schwachstelle, sondern in der Konsequenz, mit der ein Angreifer sich in legitimen Strukturen versteckt hat. Und während die Ermittlungen zur Herkunft der Angreifer weiter offen sind, bleibt eine unbequeme Erkenntnis: In solchen Fällen ist nicht der erste Zugriff entscheidend, sondern die Frage, wie lange er unbemerkt bleibt.