Cyberangriffe haben viele Gesichter. Doch wenn ein Advanced Persistent Threat (APT) wie „ToddyCat“ gezielt auf geschäftskritische E-Mail-Kommunikation abzielt, verlassen wir den Bereich der technischen Sicherheitsfragen und betreten das Terrain klarer wirtschaftlicher Spionage. Organisationen stehen heute vor der Realität, dass ihr E-Mail-Verkehr nicht nur ein Kommunikationsmittel ist, sondern ein wertvoller Datenraum — und ein hochattraktives Ziel für Angreifer.
Cybersecurity-Analysten des IT-Sicherheitsunternehmens Kaspersky haben detailliert beschrieben, wie ToddyCat sich seines Zugriffs auf Outlook-Postfächer und Microsoft-365-Zugangsdaten bedient. Die Angreifer kombinieren altbewährte Methoden mit neuen, hochentwickelten Werkzeugen, um sensible Unternehmensdaten systematisch zu extrahieren. Für Unternehmensverantwortliche bedeutet das: Es droht mehr als eine IT-Krise. Es geht um den Schutz von Geschäftsgeheimnissen, Loyalität von Kunden, den Wert des geistigen Eigentums und nicht zuletzt um regulatorische Risiken.
Dieser Artikel analysiert die Angriffsstrategie von ToddyCat, ordnet die Bedrohungslage strategisch ein und zeigt auf, wie Unternehmen darauf effizient reagieren können — und sollten. Zudem erläutern wir, wie ProSec als spezialisierter Partner im Bereich Cyberabwehr strukturiert unterstützt, um Angriffsflächen frühzeitig zu erkennen und kritische Geschäftsbereiche systematisch zu schützen.
Seit mindestens 2020 ist ToddyCat in Europa und Asien aktiv — mit einem klaren Fokus auf Behörden, Technologieunternehmen und Organisationen mit sensibler Datenhaltung. Neueste Analysen zeigen, dass der Akteur gezielt Microsoft Outlook-Dateien sowie gespeicherte Zugriffstokens für Microsoft 365 kompromittiert. Die Tools des Angreifers — wie „TCSectorCopy“, „TomBerBil“ oder „SharpTokenFinder“ — sind kein zufälliger Code-Mix, sondern präzise programmierte Werkzeuge, um systematisch an digitale Korrespondenz, Zugangsdaten und Browser-Sessions heranzukommen.
Das ist keine allgemeine Angriffswelle, kein Massen-Phishing, sondern eine gezielte Operation mit klar definierten Zielen und hoher Wirkung. Damit rückt die Bedrohung in den Kontext der Industriespionage, denn es werden keine Systeme zerstört — sondern beobachtet, kopiert und infiltriert. Eine stille, aber äußerst wirksame Methode zur wirtschaftlichen Manipulation.
Outlook-Dateien (sog. OST-Dateien), die lokal auf Firmenrechnern gespeichert werden, beinhalten vollständige E-Mail-Archiven inklusive Anlagen, Kalendereinträgen, Besprechungsnotizen und teilweise sogar Zugangsdaten in Form von Weiterleitungen oder Passwortrücksetzungen. Wer diese Dateien lesen kann, besitzt nicht nur einen inhaltlichen Überblick über Projekte, Kundenkommunikation oder Lieferantenbeziehungen, sondern versteht auch interne Entscheidungsprozesse.
ToddyCat verwendet „TCSectorCopy“, ein Tool, das die Outlook-Dateien auf Sektorebene kopiert – selbst wenn die Anwendung gerade läuft. Diese Methode umgeht klassische Datei- und Zugriffs-Sperren und läuft im Hintergrund, nahezu unsichtbar für viele Standard-Endpoint-Security-Lösungen.
In Kombination mit „XstReader“ — einem Open-Source-Tool zur Analyse von Outlook-Dateien — können Angreifer binnen Stunden vertrauliche E-Mails systematisch auswerten. Das betrifft insbesondere Führungskräftepostfächer und damit oft auch Daten von M&A-Vorgängen, rechtlichen Auseinandersetzungen oder Ausschreibungsstrategien.
Auch Webbrowser sind Zielscheiben: Ein spezieller PowerShell-Trojaner namens „TomBerBil“ kann Cookies, Passwörter und Browserverläufe auslesen — sogar über das Netzwerk hinweg über SMB-Freigaben. Gleichzeitig greifen ToddyCats Werkzeuge auf sogenannte OAuth-Access-Tokens zurück. Diese werden u. a. genutzt, um Microsoft-365- und andere API-basierte Anwendungen zu authentifizieren.
Diese Tokens werden aus laufenden Sessions (z. B. Outlook.exe) oder dem Arbeitsspeicher extrahiert – selbst wenn klassische Authentifizierungsmethoden wie Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kamen. Mit Werkzeugen wie „SharpTokenFinder“ oder im Notfall via „ProcDump“ werden so gültige Tokens aus dem RAM gezogen – und in einer anderen geografischen Zone missbräuchlich verwendet. Ohne dass die betroffene Person automatisch etwas davon mitbekommt.
Für Unternehmen besteht damit ein Risiko, das weit über technische Sphären hinausreicht: Daten können in Echtzeit exfiltriert, analysiert und weitergegeben werden – möglicherweise sogar an Ihre Wettbewerber.
Besonders alarmierend ist, dass ToddyCat nicht auf einzelne Arbeitsstationen beschränkt ist. Die Malware läuft teilweise auf Domain-Controllern – also den zentralen Instanzen von Unternehmensnetzwerken, die für Authentifizierung, Gruppenrichtlinien und Benutzerverwaltung zuständig sind. Das bedeutet: Die Angreifer operieren auf höchster Privilegierungsebene einer IT-Infrastruktur – mit maximalem Zugriff und minimalem Risiko entdeckt zu werden.
Das Ziel ist offenkundig nicht die Sabotage, sondern die Extraktion: Datenbeschaffung, Kommunikationseinblick, Zugangskontrolle. Genau so funktioniert moderne digitale Industriespionage. Und genau deshalb ist dies kein IT-Problem, sondern ein strategisches Risiko auf Vorstandsebene.
Aus Sicht der Unternehmensleitung – ob CEO, CIO, CISO oder CSO – ergeben sich gleich mehrere Handlungsdimensionen:
Die meisten Abwehrmaßnahmen im Enterprise-Umfeld zielen auf klassische Sicherheitskonzepte ab: Firewalls, Endpoint-Schutz, regelmäßige Updates. Doch ToddyCats Vorgehen zeigt, dass diese Abwehrmechanismen entweder zu oberflächlich greifen oder zu spät reagieren.
Daraus folgt: Unternehmen benötigen eine Security-Strategie, die deutlich tiefer ansetzt:
ProSec ist spezialisiert auf die Identifikation, Analyse und nachhaltige Absicherung hochspezialisierter Angriffspfade wie die von ToddyCat. Unsere Expertise in den Bereichen Red Teaming, Threat Hunting, Pentesting und Incident-Based Hardening ermöglicht es uns, komplexe Angriffsvektoren aufzudecken – bevor sie Schaden anrichten.
Konkrete Unterstützung durch ProSec:
Profitieren Sie von einer partnerschaftlichen Zusammenarbeit auf Augenhöhe mit Ihrem IT- und Security-Team. Gemeinsam stärken wir nicht nur Ihre Abwehrkraft, sondern auch Ihre digitale Widerstandsfähigkeit unternehmensweit.
