LinkedIn als Angriffsvektor: Wie gezielte RAT-Angriffe über Social Media entstehen

Von außen harmlos, im Kern brandgefährlich: Cyberkriminelle nutzen derzeit LinkedIn-Nachrichten, um gezielt Führungskräfte und schlüsselrelevante Personen mit professionellen Phishing-Kampagnen zu adressieren. Ihr Ziel: die unerkannte Infektion mit Remote Access Trojanern (RATs) — hochentwickelte Spionagewerkzeuge, die vollständige Kontrolle über kompromittierte Systeme geben. Laut einer aktuellen Analyse von ReliaQuest, veröffentlicht durch The Hacker News, bedienen sich Angreifer dazu der sogenannten DLL Side-Loading-Technik in Kombination mit legitimen Open-Source Tools.

Für CEOs, CIOs, CISOs und CSOs bedeutet das: Die Bedrohung hat längst die klassische E-Mail verlassen und infiltriert über unüberwachte Social-Media-Kanäle die Unternehmens-IT. Besonders perfide: Die Angreifer tarnen sich mit scheinbar vertraulichen PDF-Dateien oder Assessment-Materialien aus vermeintlichen Bewerbungsgesprächen.

In diesem Leitartikel analysieren wir die konkreten Cyberrisiken hinter diesem Vorgehen, erläutern die wirtschaftskriminellen Ziele und erklären, warum die technische Raffinesse nur ein Teil des Problems ist. Entscheidend ist, wie Unternehmen strategisch-funktional darauf reagieren – und wie ProSec Sie dabei als Partner mit echter Tiefe unterstützt.

Inhaltsverzeichnis

LinkedIn wird zum trojanischen Pferd – neue Angriffsvektoren per Social Engineering

Die aktuelle Kampagne nutzt persönliche LinkedIn-Nachrichten, um potenzielle Zielpersonen mit einem wohlüberlegten Social Engineering-Ansatz zu locken. Die Nachricht suggeriert meist einen professionellen Austausch – etwa im Kontext einer Zusammenarbeit, eines Interviews oder einfach eines potenziellen Jobangebots. Zielgruppe sind Personen mit hohem Zugriffsniveau oder interessanten Netzwerk-Positionen.

Öffnet das Opfer den mitgesendeten „Assessmentsordner“, startet ein raffinierter Infektionsprozess:

  • Eine ZIP-Datei enthält eine legitime Open-Source-Anwendung (z. B. PDF Viewer)
  • Diese Anwendung sideloaded beim Start automatisch eine bösartige DLL (Dynamic Link Library)
  • Diese DLL installiert einen Python-Interpreter, der vom System dauerhaft bei jedem Login gestartet wird
  • Im nächsten Schritt wird Shellcode im RAM ausgeführt – das Hauptziel: Persistenter Remote-Zugriff auf das System
  • Die Technik des DLL Side-Loadings ist aus Sicht professioneller Bedrohungsakteure eine bewährte Taktik, um Sicherheitsmechanismen zu umgehen. Entscheidend ist: Sie basiert auf legitimen Prozessen. Dadurch erschleichen sich Angreifer die „Vertrauenskette“, die klassischen Endpoint Detection & Response-Systemen (EDR) die Grundlage entzieht.

Diese Angriffsmethode hat bereits Einzug in mehrere dokumentierte Kampagnen gefunden, beispielsweise bei der Verteilung des „LOTUSLITE“ Backdoor oder der PDFSIDER Malware.

Ein klarer Fall strategischer Industriespionage

Was nach technischer Versiertheit klingt, hat eine eindeutige Stoßrichtung: gezielte, wirtschaftlich motivierte Spionage. Es geht nicht um Masse – sondern um Klasse. Die Opfer sind nicht beliebig. Sie sind aufgrund ihrer Position innerhalb ihrer Organisation genau ausgesucht. Mit Remote Access Trojans (RATs) lassen sich:

  • E-Mails abgreifen
  • Dokumente heimlich kopieren
  • Kamera- und Mikrofonzugänge aktivieren
  • Screenshots in Echtzeit übertragen
  • Nutzerverhalten überwachen
  • Adminrechte aushebeln – und damit Netzwerke späteral kompromittieren

Mit dieser Form von Vollzugriff im Hintergrund bleibt Spionage wochen- oder monatelang unbemerkt. Vor allem: Sie verlagert sich nach erfolgtem Erstzugriff auf weitere Systeme, Endpoints oder Cloud-Anwendungen. Die verdeckte Laterale Bewegung wird zur wahren Gefahr.

Aktuelle Kampagnen zeigen, dass verschiedene Sektoren betroffen sind – vom Finanzdienstleister über produzierende Industrie bis hin zu Technologiekonzernen. Besonders perfide: Der Einstieg über LinkedIn-Nachrichten gestattet Angreifern ein minimales Schadensrisiko. Firmenmonitoring auf diesen Plattformen? In der Regel nicht vorhanden.

Ein unterschätzter Angriffsvektor: Die Rolle von Social Media als blinder Fleck

Viele Unternehmen investieren in E-Mail-Gateways, Firewalls und VPNs – aber Social-Media-Accounts ihrer Führungskräfte bleiben weitgehend ungeschützt. Die Sicherheitsstrategien sind traditionell: Mail und Endgerät ja, LinkedIn und X (ehemals Twitter) nein.

Dabei ist längst klar, dass Plattformen wie LinkedIn ein wertvoller Recherchepool für Threat-Actor-Gruppen sind. Der methodische Aufbau eines vermeintlich seriösen Accounts mit beruflichen Referenzen und Branchensprache benötigt kein spezielles Know-how – lediglich Geduld. Die Kosten für Angreifer sind minimal, der mögliche Ertrag enorm.

Besonders alarmierend: Bereits nordkoreanische APT-Gruppierungen nutzten LinkedIn in vergangenen Kampagnen erfolgreich, um gezielte Malware-Kampagnen zu orchestrieren. Prominente Cases wie CryptoCore und Contagious Interview verdeutlichen, dass RAT-basierte Spionage keine Theorie ist – sondern tägliche Praxis im Bereich der Industriespionage.

Warum E-Mail-Security nicht mehr ausreicht – und viele CISO-Strategien überholt sind

„Aber wir haben doch Endpoint-Protection, wir setzen DLP, wir schulen unsere Mitarbeiter…” – Unsicherheit entsteht oft dann, wenn Sicherheit fälschlicherweise mit starren Technologie-Stacks verwechselt wird. Doch:

  1. Alle Bestandteile des Angriffs – Viewer, DLL, Interpreter – sind legitime Tools
  2. Der Einstieg via Social Media fällt aus so gut wie jedem klassischen Monitoring
  3. Die Nutzlast befindet sich nicht auf der Festplatte, sondern wird im RAM ausgeführt (Memory Injection)

Der Schadcode ist somit schwer erkennbar, und traditionelle Signaturerkennung ist weitgehend nutzlos. Stattdessen braucht es eine ganzheitliche Sicht: Menschen, Prozesse, Technologie – und ein strategisches Verständnis davon, dass neue Kommunikationswege auch neue Risiken eröffnen.

Open-Source-Werkzeuge: Vom Red Team zum realen Angreifer

Der Python-Code, der in dieser Kampagne genutzt wird, ist ein öffentlich verfügbarer Pentesting-Wrapper – eigentlich gedacht zur Durchführung autorisierter Tests. Dass genau solche Tools „dual-use-fähig” sind, ist kein neues Thema. Doch viele Führungskräfte unterschätzen die Geschwindigkeit, mit der legitime Werkzeuge für kriminelle Zwecke adaptiert werden.

Ein Beispiel aus der Praxis: Die in der Kampagne eingesetzte Payload nutzt standardisierte Methoden zur Registrierung von Run Keys im Windows-Betriebssystem. Ebenjene Techniken sind von der MITRE ATT&CK Matrix seit Jahren dokumentiert.

Jedoch: Die bloße Kenntnis dieser Techniken reicht nicht – es braucht konkrete Detection Rules, Penetrationstests (Red-Teaming) und ein tiefes Verständnis für komplexe Angreiferketten.

Was nun? Fünf zentrale Maßnahmen für Entscheider auf C-Level-Ebene

  1. Überdenken Sie Ihre Kommunikationskanäle
    Social Media ist keine HR-Spielwiese, sondern ein potenzieller Angriffsvektor. Legen Sie verbindliche Sicherheitsrichtlinien für dienstliche Profile von Führungskräften fest – inklusive Awareness, Review-Prozessen und idealerweise Monitoring.
  2. Etablieren Sie Erweiterte Bedrohungsszenario-Simulationen
    Sie sollten wissen, wie Angreifer denken. Mit maßgeschneiderten Red-Teaming-Einsätzen behalten Sie das Zepter in der Hand – und lernen, Schwächen dort zu finden, wo sie wirklich existieren.
  3. Setzen Sie auf Logging und Incident Detection auch abseits klassischer IT
    Was passiert auf Endgeräten, wenn legitime Prozesse böswillig agieren? Nur ein gut konfiguriertes SIEM (Security Information and Event Management) erkennt solche Anomalien.
  4. Trainieren Sie Schlüsselpersonen gezielt – nicht als Massenmaßnahme
    Das durchschnittliche SAT (Security Awareness Training) greift zu kurz. Entscheidend ist die gezielte Sensibilisierung für Führungskräfte, Entwickler, Admins und HR – also die wahren Targets.
  5. Bewerten Sie Ihre Angriffsfläche kontinuierlich – über Insider-Grenzen hinweg
    Externe Perspektiven sind entscheidend. Nur durch Profis, die aus Sicht realer Angriffsszenarien handeln, entsteht ein valider Lagebericht über Ihre tatsächliche Bedrohungsexposition.

Wie ProSec Sie unterstützen kann – realistisch. praxisnah. wirksam.

Bei ProSec begleiten wir Unternehmen seit Jahren bei der Bekämpfung wirtschaftskrimineller Cyberbedrohungen. Unsere Expertise liegt insbesondere in der Aufdeckung und Abwehr gezielter Spionage-Aktivitäten, die über unterschätzte Einfallsvektoren wie Social Media erfolgen.

Was uns unterscheidet:

  • Wir identifizieren konkrete Exposure-Risiken auf LinkedIn und anderen Plattformen – auch im Deep- und Darknet
  • Wir decken mit realitätsnahen Simulationen (Red/Blue-Team-Analysen) tatsächliche Schwachstellen auf – ohne Scheinsicherheit
  • Wir implementieren adaptive Detection-Mechanismen in Ihre Umgebung, die auch RAM-basierte Angriffe erkennen und neutralisieren
  • Wir bauen Awareness dort auf, wo sie relevant ist – im Umfeld Ihrer Führungsetage, nicht als Punktmaßnahme im Intranet
  • Wir begleiten Ihre strategische Sicherheitsarchitektur weit über klassische SIEM-Logiken hinaus – in hybriden Umgebungen

Die gute Nachricht: Für diejenigen, die handeln, ist das Risiko beherrschbar. Für diejenigen, die warten, kann ein einziger Social-Media-Kontakt langanhaltende Schäden bedeuten.

Quelle:

https://thehackernews.com/2026/01/hackers-use-linkedin-messages-to-spread.html

Wie schütze ich mein Unternehmen zuverlässig vor Hackern?
Mit der Unterstützung von guten Hackern!
Jetzt kontaktieren

FAQ – Zentrale technische Konzepte kurz erklärt

Ein RAT ist eine Malware, die es Angreifern erlaubt, aus der Ferne auf ein kompromittiertes System zuzugreifen und es zu steuern – inklusive Tastatureingaben, Dateibewegungen und Kameraaktivierungen.

Dabei nutzt eine Anwendung eine externe DLL – allerdings wird, meist unbemerkt, eine manipulierte DLL geladen. Das ermöglicht es Angreifern, Schadcode über scheinbar legitime Programme auszuführen.

Hierbei wird Schadcode direkt im Arbeitsspeicher (RAM) geladen und ausgeführt – ohne vorherige Speicherung auf der Festplatte. Das macht die Aktivität schwer nachverfolgbar und für klassische Antivirenlösungen fast unsichtbar.

Dabei handelt es sich um eine öffentlich verfügbare Wissensbasis realer Angriffstechniken, veröffentlicht von der MITRE Corporation. Sie dient Unternehmen zur Einordnung und Bewertung komplexer Bedrohungen.

Ein Run Key ist ein Eintrag in der Windows Registry, durch den Programme bei jedem Start des Betriebssystems automatisch geladen werden. Angreifer nutzen diese Funktion, um Malware persistent laufen zu lassen.

Hast du Fragen oder Ergänzungen? Immer her damit!
Schreibe einen Kommentar und wir antworten so bald wie möglich!

Dein E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Follow for more!
Linkedin-in Instagram Youtube Facebook-f
Newsletter Form

Cyber-Security-Insider-Zugang mit exklusiven Inhalten und frühem Zugriff auf sicherheitsrelevante Informationen

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!

ANDERE BEITRÄGE

Inhaltsverzeichnis

Teile Dein Feedback und hilf uns, unsere Services zu verbessern!

Teile dein Feedback und hilf uns, unsere Services zu verbessern!

Nimm Dir 1 Minute Zeit für ein kurzes Feedback. So stellen wir sicher, dass unsere IT-Sicherheitslösungen genau deinen Bedürfnissen entsprechen.

Umfrage
Umfrage