Check Point Research, die Security-Forscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, warnt vor „ZipLine“, eine der fortschrittlichsten Social-Engineering-Phishing-Kampagnen der vergangenen Jahre. Die Attacken zielen präzise auf Unternehmen der US-amerikanischen Fertigungs- und Lieferkettenindustrie ab und kombinieren neuartige Angriffsmethoden mit hohem Schadenspotenzial.

ZipLine: Umgedrehter Phishing-Ansatz

Anstatt klassische Phishing-E-Mails zu versenden, wenden die Angreifer eine ungewöhnliche Vorgehensweise an: Sie nehmen über die öffentlichen „Kontaktieren Sie uns“-Formulare der Unternehmen Kontakt auf. Damit leiten die Opfer selbst die erste E-Mail ein – ein Trick, der gängige Reputationsfilter umgeht und der Kommunikation von Beginn an ein seriöses Erscheinungsbild verleiht.

Über Wochen hinweg konstruieren die Täter dabei professionelle und glaubwürdige E-Mail-Konversationen. Teilweise fordern sie sogar die Unterzeichnung von NDAs (Non-Disclosure Agreements) und senden anschließend gezielt präparierte ZIP-Dateien. Diese enthalten sowohl unauffällige Dokumente als auch versteckte, manipulierte LNK-Dateien. Beim Öffnen starten diese eine PowerShell-Kette und installieren die Malware MixShell.

MixShell: Stealth-Malware mit persistenter Kontrolle

Bei dieser Malware handelt es sich um eine individuell entwickelte Nutzlast, die vollständig im Arbeitsspeicher läuft und somit klassische Sicherheitskontrollen umgeht. Sie ermöglicht Angreifern:

• Nutzung von DNS-TXT-Tunneling mit HTTP-Fallback für verdeckte C2-Kommunikation
• Remote-Ausführung von Befehlen und Dateioperationen
• Aufbau von Reverse-Proxy-Tunneln für tiefere Netzwerkzugriffe
• Persistente Kontrolle infizierter Systeme ohne Spuren im Dateisystem

Abbildung 1: Darstellung des Ablaufs der ZipLine-Kampagne (Quelle: Check Point Software Technologies Ltd.).

KI-Trend als Köder

In einer zweiten Angriffswelle nutzen die Täter den Trend rund um KI aus. Unter dem Vorwand interner „AI Impact Assessments” werden Mitarbeitende aufgefordert, Fragebögen zur Effizienzsteigerung durch KI zu prüfen. Zwar wurde in diesen Beispielen keine Malware entdeckt, doch die Wiederverwendung der Infrastruktur deutet auf denselben ZIP-Delivery-Mechanismus hin. Abbildung 2: Tortendiagramm der von ZipLine attackierten Sektoren (Quelle: Check Point Software Technologies Ltd.)

Hohe Risiken für Fertigungs- und Lieferkettenunternehmen

Die Ziele von ZipLine sind Unternehmen, deren Daten und Systeme von kritischer Bedeutung sind. Mögliche Folgen erfolgreicher Angriffe:

• Diebstahl geistigen Eigentums und Erpressung durch Ransomware
• Finanzbetrug durch gestohlene Zugangsdaten und Business Email Compromise
• Störungen der Lieferkette mit potenziellen Kettenreaktionen über ganze Industrien hinweg

Zur Abwehr von Kampagnen wie „ZipLine“ empfiehlt sich eine mehrschichtige Sicherheitsstrategie für E-Mail- und Kollaborationsdienste mit folgenden Funktionen:

• Phishing-Erkennung mit ML/NLP, die Kommunikationsmuster und Gesprächskontext bewertet – nicht nur einzelne Nachrichten.
• Sandboxing/Threat Emulation für Anhänge (z. B. ZIP-Archive): Dateien isoliert ausführen und bei verdächtigem Verhalten blockieren.
• Click-Time-URL-Prüfung: Links beim Anklicken erneut bewerten, um umgeleitete oder frisch kompromittierte Ziele zu stoppen.
• Kontoschutz per Verhaltensanalyse (und ergänzend MFA/risikobasierter Zugriff), um Kontoübernahmen und Business Email Compromise zu erkennen und zu verhindern.
• Data-Loss-Prevention (DLP) mit Richtlinien, Klassifizierung und Verschlüsselung für geistiges Eigentum und sensible Lieferkettendaten.

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Research: „Die ZipLine-Kampagne ist ein Weckruf für alle Unternehmen, die glauben, dass Phishing nicht mehr ist als verdächtige Links in E-Mails. Angreifer entwickeln sich schneller denn je weiter – sie kombinieren menschliche Psychologie, vertrauenswürdige Kommunikationskanäle und zeitgemäße KI-Themen als Köder. Um sicher zu bleiben, müssen Unternehmen präventive, KI-gestützte Abwehrmaßnahmen ergreifen und eine Kultur der Wachsamkeit schaffen, in der alles, was im Postfach landet, als potenzielle Bedrohung behandelt wird.“

Fazit

ZipLine zeigt, wie ausgeklügelt Social-Engineering-Angriffe inzwischen sind. Webformular-Missbrauch, langfristige E-Mail-Konversationen und KI-bezogene Köder machen herkömmliche Erkennungsmethoden wirkungslos. Um mit der Geschwindigkeit der Angreifer Schritt zu halten, müssen Unternehmen auf ganzheitliche Schutzlösungen setzen.