Gefährliche Teams-Falle

Wer heute nach Microsoft Teams sucht, könnte morgen bereits Teil einer Angriffskette sein. Eine neu beobachtete Cybercrime-Gruppe manipuliert Suchergebnisse, verteilt trojanisierte Teams-Installer und nutzt dabei Techniken, die klassische Sicherheitskontrollen gezielt unterlaufen. Besonders brisant: Die Geschwindigkeit, mit der sich die Malware weiterentwickelt, deutet darauf hin, dass Angreifer zunehmend KI-gestützte Entwicklungsprozesse für offensive Cyberoperationen nutzen.

Eric Litowsky, Sales Director bei BlueVoyant erläutert die Kampagne.

Das Security Operations Center von BlueVoyant hat eine neue, international aktive Bedrohungsgruppe identifiziert, die seit mindestens Februar 2026 eine ausgefeilte SEO-Poisoning-Kampagne gegen Nutzerinnen und Nutzer von Microsoft Teams fährt. Ziel der Angreifer ist es, Suchanfragen nach Teams-Installern abzufangen und Betroffene auf manipulierte Download-Seiten zu lenken. Dort werden scheinbar legitime Microsoft-Teams-Installer angeboten. Tatsächlich enthalten die Installationspakete jedoch eine mehrstufige Malware-Kette, die von BlueVoyant unter dem Namen „Lorem Ipsum“ analysiert wird. Die Kampagne zeigt, wie stark sich moderne Initial-Access-Operationen von klassischen Phishing-Angriffen wegbewegen: Nicht die E-Mail ist der Köder, sondern der ganz normale Suchvorgang.

SEO Poisoning: Wenn die Suche selbst zum Angriffspfad wird

Bei SEO Poisoning manipulieren Angreifer Suchmaschinenrankings, um bösartige Webseiten möglichst weit oben in den Ergebnissen zu platzieren. Genau dieses Prinzip nutzt die beobachtete Kampagne: Wer nach einer Installationsmöglichkeit für Microsoft Teams sucht, kann auf präparierte Webseiten stoßen, die wie legitime Download-Portale wirken. Ein auf diesen Seiten eingebettetes PHP-Skript erfasst zunächst die IP-Adresse des Besuchers. Anschließend wird ein trojanisierter MSI-Installer ausgeliefert. Für Anwender sieht der Ablauf unverdächtig aus, weil im Vordergrund tatsächlich ein legitimer Teams-Installer gestartet wird. Im Hintergrund beginnt jedoch bereits die eigentliche Infektionskette.

Signierte Malware mit Drei-Tage-Zertifikaten

Technisch besonders auffällig ist der Einsatz valider Code-Signing-Zertifikate. Die manipulierten MSI-Dateien sind signiert und wirken dadurch auf den ersten Blick vertrauenswürdig. Laut BlueVoyant besitzen diese Zertifikate jedoch nur eine sehr kurze Gültigkeit von maximal drei Tagen. Dieser gezielte „Burn Cycle“ erschwert die Erkennung durch Endpoint Detection and Response-Systeme. Sicherheitslösungen, die stark auf Reputation, Zertifikatsstatus oder statische Indicators of Compromise setzen, geraten dadurch unter Druck. Sobald ein Zertifikat auffällig wird, kann die Gruppe bereits mit einem neuen signierten Build weiterarbeiten.

Versteckte PowerShell, Loader-Kette und Backdoor

Die Ausführung der Schadsoftware beginnt über eine MSI-Aktion, die im Hintergrund eine PowerShell-basierte Komponente startet. Während der legitime Microsoft-Teams-Installer sichtbar ausgeführt wird, lädt die Malware weitere Bestandteile nach.

BlueVoyant beschreibt eine schnelle technische Reifung der Kampagne. Anfangs nutzten die Angreifer noch vergleichsweise einfache, gzip-komprimierte Payloads. Innerhalb weniger Wochen entwickelten sie ihre Architektur weiter und setzen inzwischen auf externe AES-Schlüssel, die über den MSI-Perimeter übergeben werden. Dadurch wird die Analyse erschwert und die Payload-Bereitstellung flexibler.

„Lorem Ipsum“ als Tarnung für Command-and-Control

Eine der ungewöhnlichsten Techniken der Kampagne ist der Missbrauch legitimer Webdienste als sogenannter Dead-Drop-Resolver. Statt Command-and-Control-Domänen fest in die Malware einzubauen, legen die Angreifer Profile auf der Plattform letsdiskuss[.]com an.

In den Profilbeschreibungen verstecken sie codierte C2-Informationen. Als Tarnung dient der bekannte Blindtext „Lorem Ipsum“. Zwischen bestimmten Begrenzungszeichen sind die eigentlichen Daten eingebettet. Der Loader ruft diese Profile über reguläre HTTP-Anfragen ab, extrahiert die versteckten Zeichenketten und berechnet daraus die finalen C2-Domänen. Der Vorteil für die Angreifer: Die Infrastruktur bleibt beweglich, schwerer blockierbar und wirkt in Teilen wie normaler Webverkehr.

C2-Kommunikation in JPEG-Dateien versteckt

Nach der Auflösung der C2-Domänen nutzt die Malware eine weitere Verschleierungsebene. Die Kommunikation mit der Angreiferinfrastruktur wird in JFIF-Bilddateien, also JPEG-Strukturen, gekapselt. Der Loader sendet Anfragen mit einem „image/jpeg“-Header. Verschlüsselte Payloads oder Systeminformationen werden an reguläre Bilddaten angehängt und über eine angepasste XOR-Routine übertragen. Für viele Sicherheitswerkzeuge kann dieser Datenverkehr wie unauffälliger Bildtransfer erscheinen, obwohl im Hintergrund Befehle, Systeminformationen oder weitere Malware-Komponenten transportiert werden.

Verdacht auf KI-gestützte Malware-Entwicklung

Besonders alarmierend ist die Geschwindigkeit, mit der die Bedrohungsgruppe ihre Angriffswerkzeuge weiterentwickelt hat. Innerhalb von rund zehn Wochen wandelte sich die Malware laut BlueVoyant von einem einfachen Test-Build zu einer komplexen Loader-Kette mit DLL-Sideloading, dynamischer API-Auflösung, UUID-getrackten Pfaden und getarnter C2-Kommunikation. Diese Entwicklungsgeschwindigkeit legt den Verdacht nahe, dass die Angreifer Large Language Models oder andere KI-gestützte Entwicklungsprozesse nutzen. Für Cyberkriminelle kann generative KI dabei helfen, Code schneller zu variieren, Obfuskation zu verbessern, Fehler zu beheben und neue Angriffspfade effizienter zu testen. Das bedeutet nicht zwangsläufig, dass die gesamte Malware von KI geschrieben wurde. Es zeigt aber, dass KI inzwischen ein Beschleuniger für offensive Cyberoperationen sein kann.

Möglicher Initial Access Broker mit hohem Ressourceneinsatz

Die Analyse spricht für eine gut ausgestattete, finanziell motivierte Cybercrime-Gruppe. BlueVoyant hält es für möglich, dass die Akteure als Initial Access Broker agieren. In diesem Modell verschaffen sich Angreifer zunächst Zugang zu Unternehmensnetzwerken und verkaufen diesen Zugang anschließend an andere Gruppen weiter, etwa an Ransomware-Operatoren oder Datendiebstahl-Crews. Die Kombination aus SEO Poisoning, signierten Installern, dynamischer Infrastruktur und verschleierter C2-Kommunikation deutet auf eine professionelle Operation hin. Für Unternehmen ist das besonders gefährlich, weil der Angriff mit einer völlig normalen Nutzerhandlung beginnt: der Suche nach legitimer Software.

Für IT-Sicherheitsverantwortliche ergibt sich eine klare Konsequenz: Statische IOCs allein reichen nicht mehr aus. Domains, Zertifikate, Hashes und IP-Adressen können in dieser Kampagne schnell wechseln. Entscheidend wird daher eine stärkere verhaltensbasierte Erkennung.

Wichtige Warnsignale sind:

• Netzwerkverkehr von Nicht-Browser-Prozessen zu letsdiskuss[.]com
• JFIF- oder JPEG-formatierte POST-Anfragen an ungewöhnliche Endpunkte
• versteckte PowerShell-Instanzen, die durch msiexec gestartet werden
• MSI-Installer, die gleichzeitig legitime Software installieren und Hintergrundprozesse auslösen
• Schreibzugriffe im Dateisystem im Zusammenhang mit verdächtigen Installationsroutinen
• auffällige Nutzung kurzlebiger Code-Signing-Zertifikate
• Loader-Verhalten mit dynamischer API-Auflösung oder DLL-Sideloading

Warum diese Kampagne ein Warnsignal für 2026 ist

Die „Lorem Ipsum“-Kampagne zeigt, wie stark sich Cyberangriffe professionalisiert haben. Angreifer kombinieren Suchmaschinenmanipulation, legitime Plattformen, signierte Installer, mehrstufige Loader und KI-nahe Entwicklungsprozesse zu einer Angriffskette, die für klassische Sicherheitsmodelle schwer zu greifen ist. Für Unternehmen wird damit eine alte Annahme gefährlich: Dass Nutzer nur bei verdächtigen E-Mails oder unbekannten Anhängen kompromittiert werden. In der Realität reicht inzwischen eine Suchanfrage nach bekannter Business-Software.

Die zentrale Lehre aus der BlueVoyant-Analyse lautet: Verteidigung muss schneller, kontextbasierter und verhaltensorientierter werden. Wer nur auf bekannte IOCs wartet, reagiert bei Kampagnen dieser Art zu spät.