Phishing-Großangriff seit vier Jahren: Operation HookedWing

Seit über vier Jahren infiltriert die Operation HookedWing gezielt kritische Sektoren durch Phishing. Über 500 Organisationen sind vom Datendiebstahl betroffen.

Sicherheitsanalysten von SOCRadar haben einen Bericht über eine der beständigsten Cyber-Operationen der letzten Jahre vorgelegt. Unter dem Namen „Operation HookedWing“ agiert eine Phishing-Kampagne, die bereits seit 2022 aktiv ist und deren Spuren sich durch die IT-Infrastrukturen von mehr als 500 Organisationen weltweit ziehen. Die Operation zeichnet sich weniger durch technologische Radikalität als vielmehr durch eine hohe operative Konstanz und die gezielte Auswahl strategisch bedeutsamer Opfer aus. In den vergangenen vier Jahren wurden dabei mehr als 2.000 individuelle Nutzer-Zugangsdaten entwendet.

Schrittweise Erweiterung der Infrastruktur und Zielgebiete

Operation HookedWing ist kein statisches Phänomen. Die Analyse der vergangenen vier Jahre zeigt eine schrittweise Erweiterung der Infrastruktur und der Zielgebiete. Zwischen 2022 und 2024 stützten sich die Akteure primär auf englischsprachige Inhalte. Die Angriffe nutzten vorwiegend Themes im Stil von Microsoft und Outlook, wobei GitHub-Domänen sowie kompromittierte Server als Basis für die Phishing-Seiten dienten.

Im Zeitraum zwischen 2024 und 2025 erweiterten die Hacker ihren Aktionsradius auf den französischsprachigen Raum. Während die bekannten Phishing-Muster beibehalten wurden, integrierten die Angreifer französische Inhalte, um Organisationen in entsprechenden Sprachregionen effektiver adressieren zu können. Seit Beginn des Jahres 2026 ist eine erneute qualitative Steigerung zu beobachten: Die Namensgebung der GitHub-Domänen wird zunehmend obfuskieriert, die Themenvielfalt der Köder-Mails wurde erhöht und zusätzliche Landingpages wurden in das System integriert.

Strategische Auswahl kritischer Wirtschaftssektoren

Die Opferauswahl von Operation HookedWing folgt keinem opportunistischen Zufallsprinzip. Die Analysten stellen fest, dass das Targeting ein klares Muster aufweist, das auf Organisationen mit hoher geopolitischer Relevanz ausgerichtet ist. Zu den primär betroffenen Sektoren gehören:

• Luftfahrt und Reiseverkehr: Infiltration von Transport- und Logistikketten.
• Energieversorgung: Zugriff auf Ressourcenplanung und operative Steuerung.
• Finanzdienstleistungen: Diebstahl von Transaktionsdaten und privilegierten Zugängen.
• Regierung und öffentliche Verwaltung: Fokus auf diplomatische und administrative Kommunikation.
• Technologie und kritische Infrastruktur: Zugriff auf geistiges Eigentum und Systemkontrollen.

Das Ziel der Akteure scheint die Erlangung hochprivilegierter Zugangsdaten zu sein. Diese können entweder für langfristige Spionagezwecke genutzt oder auf spezialisierten Märkten an andere staatliche oder kriminelle Akteure veräußert werden.

Missbrauch von GitHub-Infrastrukturen

Ein wesentliches Merkmal der Operation ist die geschickte Nutzung legitimer Cloud-Plattformen zur Verschleierung schädlicher Aktivitäten. SOCRadar identifizierte über 100 GitHub-Domänen, die als Hosting-Plattformen für die betrügerischen Inhalte dienen. Da GitHub eine hohe Reputation genießt, werden entsprechende Links von vielen automatisierten Sicherheitsfiltern sowie von den Nutzern selbst oft als unbedenklich eingestuft.

Flankiert wird diese Strategie durch ein Netzwerk von zwei Dutzend Command-and-Control-Servern (C&C) und mehr als einem Dutzend Distributions-Domänen auf verschiedenen anderen Plattformen. Diese hybride Infrastruktur ermöglicht es den Angreifern, im Falle einer Entdeckung einzelner Server schnell auf alternative Ressourcen auszuweichen, ohne die gesamte Operation zu gefährden.

Der psychologische „Pre-Loader“ des Phishing

Die initiale Kontaktaufnahme erfolgt über Phishing-E-Mails, die vorgeben, von der Personalabteilung oder von direkten Kollegen zu stammen. Die Nachrichten sind formal schlicht gehalten, vermitteln jedoch eine hohe Dringlichkeit oder Autorität. Ein zentraler Bestandteil der Täuschung ist der technische Aufbau der Landingpages.

Klickt ein Opfer auf den enthaltenen Link, wird es nicht sofort zur Dateneingabe aufgefordert. Stattdessen wird ein Full-Screen-Ladebildschirm („Pre-Loader“) eingeblendet, der das typische Verhalten von Microsoft-Outlook-Webanwendungen imitiert. Technisch entscheidend ist hierbei die Personalisierung: Das System erkennt die Zugehörigkeit des Opfers und blendet den Namen der jeweiligen Organisation oder verwandte Begriffe ein. Dieser Moment der scheinbaren Validierung verstärkt die Glaubwürdigkeit der Umgebung, bevor das eigentliche Login-Formular erscheint.

Automatisierter Datenabfluss und Profilbildung

Im Hintergrund der Phishing-Seite agieren Skripte, die eine Validierung der eingegebenen E-Mail-Adressen und URLs vornehmen. Ein PHP-Formular sammelt die Zugangsdaten ein, während gleichzeitig umfangreiche Telemetriedaten des Opfers erhoben werden. Sobald der Nutzer den „Anmelden“-Button betätigt, wird ein vollständiger Datensatz an die Angreifer übermittelt.

Dieser Datensatz umfasst in der Regel:

1. Die E-Mail-Adresse und das Passwort im Klartext.
2. Die vollständige IP-Adresse des zugreifenden Systems.
3. Umfassende Geolocation-Daten des Opfers.
4. Die ursprüngliche Quell-URL sowie die Domäne der betroffenen Organisation.

Diese gebündelte Informationserfassung erlaubt es den Hackern von Operation HookedWing, unmittelbar nach dem Diebstahl eine Identitätsprofilierung vorzunehmen und Folgeschäden in den betroffenen Netzwerken zu initiieren. Die Beständigkeit der Kampagne verdeutlicht, dass die Absicherung gegen Identitätsdiebstahl eine dauerhafte prozessuale Herausforderung bleibt, die weit über rein technologische Filtermaßnahmen hinausgeht.