Die Cyberkriminalität entwickelt sich rasant weiter und die Akteure passen ihre Methoden kontinuierlich an, um Sicherheitsmaßnahmen zu umgehen und ihre Ziele zu erreichen. Ein markantes Beispiel dafür ist die kriminelle Gruppierung Scattered Spider, die in den vergangenen Jahren mit ausgeklügelten Social-Engineering-Angriffen von sich reden machte und 2025 nun neue Wege beschreitet. Während in der Vergangenheit ein kurioses Phishing-Verfahren, das sogenannte Rickrolling, ihren Angriffen eine fast schon humoristische Note verlieh, hat die Gruppe diese Methode nun eingestellt und sich stattdessen auf den Einsatz ausgefeilter RAT-Malware (Remote Access Trojan) konzentriert. Diese Veränderung signalisiert eine gefährliche Eskalationsstufe in der Welt der Cyberangriffe und fordert von Sicherheitsverantwortlichen erhöhte Wachsamkeit und innovative Abwehrstrategien. Scattered Spider ist ein international agierendes Cybercrime-Kollektiv, das seit 2022 mit mehreren spektakulären Angriffen auf namhafte Firmen wie Twilio, Okta, MGM Resorts und Caesars Entertainment für erheblichen Aufsehen sorgte.
2024 wurde die Gruppe mit möglichen Verbindungen zu komplexen Einbrüchen bei Snowflake in Verbindung gebracht. Trotz der erfolgreichen Festnahmen mehrerer Mitglieder, darunter ein junger Britischer Anführer und ein US-amerikanischer Täter, der zu schweren Strafmaßen verurteilt wurde, ist die Bedrohung durch diese Gruppe keineswegs gebannt. Noch 2025 zeigen sich die Angriffe in aktualisierter Form und mit neuem Werkzeug. Die ursprüngliche Phishing-Strategie von Scattered Spider beinhaltete häufig das sogenannte Rickrolling – eine Methode, bei der Opfer dazu verleitet wurden, auf Links zu klicken, die sie zu dem Musikvideo „Never Gonna Give You Up“ von Rick Astley weiterleiteten. Hinter diesem scherzhaften Ablenkungsmanöver verbergen sich jedoch bösartige Ziele: Die Kriminellen nutzen solche Redirects, um Schadsoftware zu schleusen oder Zugangsdaten sowie Multi-Faktor-Authentifizierungsdaten zu erbeuten.
Das Feature, das bei Jugendlichen und Internetnutzern beliebt ist, wurde auf raffinierte Weise ins Cybercrime-Repertoire übertragen. Doch diese Taktik ist mit Beginn 2025 anscheinend Geschichte. Sicherheitsanalysen von Silent Push zeigen, dass Scattered Spider die Rickroll-Phishing-Kits dekommissioniert und stattdessen auf technisch versiertere Angriffsmethoden umgestiegen ist. Die neue Angriffswelle ist geprägt von mehreren signifikanten Veränderungen. So nutzt Scattered Spider mehrere neue Phishing-Kits, die deutlich komplexer sind und eine breite Palette an bekannten Marken imitieren.
Unternehmen wie Nike, T-Mobile, Tinder, Louis Vuitton, Instacart und Pure Storage befinden sich auf der Zielscheibe der Angreifer. Besonders bedrohlich ist, dass die Kriminellen Webdomänen erstellen, die echte Anmeldeseiten verschiedener Unternehmen und Softwareanbieter täuschend echt nachbilden, um Mitarbeiter in den Organisationen systematisch zu täuschen und an ihre Zugangsdaten zu gelangen. Die Angriffe beginnen häufig mit SMS-Phishing, wodurch Login-Daten sowie Multi-Faktor-Tokens abgegriffen werden. Ein besonders gefährliches Werkzeug in diesem Arsenal ist die neue Version der sogenannten Spectre RAT, einer mächtigen Fernzugriffs-Trojaner-Malware, die von Scattered Spider eingesetzt wird, um fortlaufenden Zugang zu den gehackten Systemen sicherzustellen. Silent Push fand in einem offenen Verzeichnis auf neu registrierten Domains von Scattered Spider aktuelle Versionen der Spectre RAT, die mit Techniken wie Code-Obfuskation und einem ausgefeilten Crypter ausgestattet sind, um sich unentdeckt zu halten.
Die Malware ist sowohl in 32- als auch in 64-Bit-Versionen verfügbar und unterstützt zahlreiche Befehle für die Kommunikation mit den Command-and-Control-Servern (C2), was die Flexibilität und Anpassungsfähigkeit der Schadsoftware unterstreicht. Einige Features befinden sich noch in der Entwicklungsphase, was darauf hindeutet, dass Scattered Spider kontinuierlich neue Funktionen nachlegt, um ihre Hintertürtechnik weiter zu verbessern. In der Praxis bedeutet dies, dass nach erfolgreichem Phishing und dem Erhalt von Zugangsdaten die Angreifer die Systeme infiltrieren, sensible Daten stehlen und Unternehmen mit Verschlüsselungstrojanern erpressen. Die Kombination aus sozialer Manipulation, technischer Finesse und harter Erpressung führt zu erheblichen Risiken für betroffene Firmen. Die Auswahl der Ziele lässt zudem auf eine fokussierte Vorgehensweise schließen: Cloud-Storage-Anbieter wie Pure Storage und Wettbewerber von Snowflake zeigen, dass die Akteure industrielle Schlüsselmärkte ins Visier nehmen, in denen wertvolle Daten gehortet werden und welche für die digitale Infrastruktur von großer Bedeutung sind.
Die besonderen Merkmale der aktuellen Angriffskampagne von Scattered Spider beinhalten außerdem die Nutzung von dynamischen DNS-Vendoren, die öffentlich registrierbare Subdomains vergeben. Die Registrierung neuer Domains auf solchen Plattformen erschwert das dauerhafte Tracking der Angreiferinfrastruktur und erhöht die Risiken für Unternehmen, da sie mit einer Vielzahl wechselnder Domains rechnen müssen. Sicherheitsanbieter raten deshalb dazu, Requests zu diesen verdächtigen Domains gezielt zu blockieren und die eigenen Systeme entsprechend zu überwachen. Ein weiteres interessantes Detail bei der Analyse der Scattered-Spider-Phishing-Infrastruktur ist die Überlagerung von Marken: Ein und dieselbe Webseite kann verschiedene bekannte Firmen imitieren und damit potenziell mehrere Unternehmen gleichzeitig attackieren. Beispiele hierfür sind Domains, die sowohl okta-louisvuitton.
com als auch nike, Tinder und T-Mobile im selben Angriff betreffen. Dies zeigt, dass die Angreifer vermehrt versuchen, ihre Reichweite und Trefferwahrscheinlichkeit durch solche Multiplikatoreffekte zu erhöhen. Für Verteidiger und IT-Sicherheitsverantwortliche ist die Lage daher komplex. Die bekannten Abwehrmaßnahmen wie Awareness-Schulungen, Multi-Faktor-Authentifizierung und Intrusion-Detection-Systeme bleiben essentiell, doch die fortschreitende Entwicklung der Bedrohung erfordert auch neue erweiterte Analysewerkzeuge. Das Research-Team von Silent Push veröffentlicht dazu Tools wie einen Spectre RAT String Decoder sowie eine C2-Emulation, die Sicherheitsfachleuten helfen sollen, die neue Malware zu entschlüsseln und im Labor zu analysieren.
Solche Initiativen fördern die Entwicklung von Gegenmaßnahmen und unterstützen Unternehmen dabei, kompromittierte Systeme schneller zu erkennen und zu neutralisieren. Abschließend zeigt sich, dass Scattered Spider trotz der intensiven Strafverfolgung im Vorjahr nicht versiegt ist. Die Gruppe adaptiert geschickt neue Technologien und Methoden, um fortwährend großen Schaden anzurichten. Im Gegensatz zu früheren Zeiten, in denen eine humorvolle Strategie wie das Rickrolling für den Überraschungseffekt sorgte, stehen nun hochentwickelte Malware-Lösungen und ausgeklügelte Phishing-Kampagnen im Zentrum der Operationen. Cloud-Speicherunternehmen und andere kritische digitale Dienste bleiben im Fokus, was auf eine klare strategische Ausrichtung der Gruppe hindeutet.
Unternehmen sind daher angehalten, ihre Cyberabwehrsysteme zu überprüfen, den Schutz der Mitarbeiter vor Social Engineering durch Schulungen zu intensivieren und moderne Erkennungstechnologien einzusetzen. Nur so lässt sich der zunehmenden Raffinesse und Hartnäckigkeit von Kriminellen wie Scattered Spider wirksam begegnen. Die Ära der Rickrolls ist vorbei – die neue RAT-Ära hat begonnen, und sie fordert auf allen Ebenen höchste Aufmerksamkeit und Innovation im Kampf gegen Cyberkriminalität.
