Sicherheitsexperten beobachten einen neuen Trend: Cyberkriminelle nutzen nicht mehr nur kompromittierte Webseiten zum Hosten von Schadsoftware, sondern sie setzen verstärkt auf legitime Infrastruktur-Dienste, melden Forscher des Forcepoint X-Labs-Teams. Dabei machen sie auch von Künstlicher Intelligenz regen Gebrauch.
Für Phishing- und Malware-Kampagnen nutzen Cyberkriminelle immer häufiger vertrauenswürdige Web-Infrastruktur- und CDN-Services um ihre bösartigen Aktivitäten zu tarnen.
(Bild: Midjourney / KI-generiert)
Cyberkriminelle verändern ihre Strategien. Statt Malware- und Phishing-Kampagnen über kompromittierte Server und Websites laufen zu lassen, missbrauchen sie verstärkt reguläre Infrastruktur-Services. Ein Beispiel dafür ist blogspot.com, der kostenlose Domain-Service von Google für Blogger. Auf ihm hosteten Autoren der Agent-Tesla-Malware ihre Stage Payloads. Ein weiteres Beispiel liefert Trycloudflare.com. So verwendeten Hacker den temporären Cloud-Tunnel-Service von Trycloudflare zur Installation von RAT-Malware (Remote Access Trojan) wie AsyncRAT, Remcos-RAT und XWorm. Die Snakekeylogger-Malware-Kampagne wiederum nutzte das Content Delivery Network Discord CDN zum Hosten bösartiger Dateien.
Auch von Secureserver.net machen Cyberkriminelle regen Gebrauch. Von dort ging beispielsweise der Ursprung einer Malware-Kampagne aus, die es hauptsächlich auf Finanzinstitute in Südamerika abgesehen hatte. Malware wie Grandoreiro und NetSupport RAT nutzten ebenfalls diese Plattform. Am Beispiel von Secureserver.net lässt sich eindrucksvoll aufzeigen, welche Größenordnung der Wechsel von Hackern zu legitimen Services inzwischen angenommen hat. So fing der Cybersecurity-Spezialist Forcepoint allein in den vier Monaten von Juni bis September 2024 über 3,7 Millionen verdächtige E-Mails ab, die Secureserver.net-URLs enthielten.
Die vertraute Subdomain gibt dem Angriff einen seriösen Anstrich
Für Phishing-Kampagnen nutzen Cyberkriminelle unter anderem Web-Infrastruktur- und CDN-Services von Cloudflare. Mit dem Dienst Pages stellten sie statische Webseiten bereit und den Dienst Workers nutzen sie dafür, serverlosen Code an mehreren Standorten rund um den Globus auszuführen. Mit Cloudflare CDN beschleunigten sie die Bereitstellung von SaaS-Anwendungen überall auf der Welt.
IT-Sicherheitsexperten beobachten außerdem erhebliche bösartige Aktivitäten auf der Domain Windows.net. So nutzen Cyberkriminelle Azure Blog Storage, um statische Webinhalte, Dateien und Anwendungen zu hosten und zu bedienen. Ihre Phishing-Seiten und ihre Malware, etwa für Tech-Support-Scams, hosten sie auf Subdomains wie web.core.windows.net oder azurewebsites.net und geben ihnen dadurch einen seriösen Anschein, da sie mit der vertrauenswürdigen Infrastruktur von Microsoft verbunden sind.
Hacker greifen aber auch auf Open-Source-Dienste wie das Dateisystem IPFS zurück. Dessen dezentraler Charakter macht es schwieriger, Webseiten, Dateien oder Anwendungen lahmzulegen, da sie über mehrere Server verteilt sind. Weil die Inhalte über mehrere Knoten verstreut sind, funktionieren bei IFPS auch die herkömmlichen Methoden zur Abschaltung von Web-Hosting-Diensten nicht effektiv – etwa die Kontaktaufnahme mit dem Hosting-Anbieter. Um eine Erkennung und Blockierung zu umgehen, verwenden Angreifer außerdem rotierende bösartige URLs, die auf Plattformen wie AWS oder Azure gehostet werden.
Bei ihren Phishing-Kampagnen verhalten sich die Angreifer oft wie Verantwortliche für digitales Marketing. Sie wenden Taktiken wie SEO-Poisoning an, bei der sie beliebte oder aktuelle Schlüsselwörter auf ihren bösartigen Websites verwenden, damit die Suchmaschinen sie höher ranken. Diese Schlüsselwörter stehen oft im Zusammenhang mit aktuellen Ereignissen, beliebter Software oder Fragen zur IT-Sicherheit – zum Beispiel „kostenloses Antivirus“ oder „Google Authenticator“.
Genau wie digitale Vermarkter nutzen Hacker auch Google-Anzeigen, um ihre Waren bei ahnungslosen Opfern anzupreisen. So waren Szenarien zu beobachten, in denen sie sich als Produkte aus der Google-Palette wie etwa als Google Authenticator oder Google Maps ausgaben. Mit Looker Studio von Google erstellen sie Fake-Seiten auf denen sie Bilder anzeigen, die solchen entsprechen, die man auf der Suchseite von Google erwartet. So wollen sie Nutzer dazu bringen, mit der gefälschten Seite zu interagieren. Mit Anzeigen locken sie die Nutzer auf diese gefälschten Google-Seiten.
Bösartige Websites und Phishing gehen durch die Decke
Bösartige Websites, Phishing und Scam lassen kompromittierte Websites inzwischen weit hinter sich.
(Bild: Forcepoint)
Zahlen von Forcepoint zeigen, wie sich die verschiedenen Malware-Kategorien in der jüngeren Vergangenheit entwickelten. So erkannten die Echtzeit-Signaturen des Unternehmens im ersten Quartal 2024 noch weniger als 100.000 bösartige Websites und im dritten Quartal dann bereits knapp 500.000. In diesem Zeitraum hat sich ihre Anzahl also fast verfünffacht. Phishing und Scam stiegen im selben Zeitraum von etwa 125.000 auf fast 400.000 Instanzen. Die Zahl der kompromittierten Websites stieg im Vergleich dazu deutlich geringer an und liegt auch in absoluten Zahlen weit hinter bösartigen Websites, Phishing und Scam zurück.
Von Skript-Kiddies zu Malware-Kiddies?
Für ihre Kampagnen nutzen Hacker natürlich auch Künstliche Intelligenz. Sie erstellen damit überzeugende Texte für ihre Fake-Websites, verfassen authentisch klingende E-Mails, konzipieren gut strukturierte Phishing-Versuche per SMS und sogar ausgeklügelte Phishing-Versuche mithilfe von Sprache. Mit KI generieren sie Fake-Dokumente wie Rechnungen oder echt klingende Auftragsdetails und Referenzen, die dann eine Schadsoftware enthalten. Sie verwenden Chatbots, um ihre Opfer in Echtzeitgesprächen zur Weitergabe sensibler Informationen zu verleiten. Oder sie nutzen große KI-Sprachmodelle, um kontextabhängige Antworten zu generieren, mit denen sie sofort reagieren können, wenn jemand auf eine Phishing-E-Mails antwortet und so die Glaubwürdigkeit erheblich steigern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Künstliche Intelligenz erleichtert aber auch dem Nachwuchs den Einstieg in die Cyberkriminalität. Mit ihrer Hilfe können junge Menschen die Elemente einer Malware-Kampagne erstellen und dabei legitime Dienste als Infrastruktur für das Hosting und die Bereitstellung dieser Elemente nutzen. Deshalb steht zu befürchten, dass Skript-Kiddies schon bald den Weg für Malware- und Phishing-Kiddies freimachen.
Über den Autor: Fabian Glöser ist Team Leader Sales Engineering DACH bei Forcepoint.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/25/03/25038997c3391d1eff530e34eed78b64/0123042407v2.jpeg "Malware bereitet Unternehmen weltweit immer mehr Probleme. Diese Malware sind im Jahr 2025 bei besonders vielen Cyberangriffe eingesetzt. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8daa15d4147e65fa4d61dd1574caa9/0123286635v2.jpeg "Klassische Phishing-Methoden verlieren durch moderne Schutzmethoden zunehmend an Wirkung. Mit Device Code Phishing umgehen Angreifer allerdings viele dieser Schutzmaßnahmen. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/ff/7aff7af7ba4ef9f583f0b6c42b5d3cdb/0118321909.jpeg "Der Einsatz der künstlichen Intelligenz verändert die Phishing-Landschaft. So sind selbst Malware-Anfänger im Stande, komplexe und glaubwürdige Phishing-Angriffe durchzuführen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/34/7e34c9258116a9820ba5c0480d705626/0128151496v2.jpeg "Zur Shopping-Hochsaison häufen sich Fake-Shops und Phishing. Realistisch gestaltete Webseiten, Anzeigen und manipulierte Suchergebnisse locken Käufer auf betrügerische Webseiten. (Bild: © brainpencil - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/6b/026b8e74ab52a461200667f858d3512e/0124726704v2.jpeg "PDF-Dateien sind weiterhin die meistgenutzten bösartigen Anhänge mit einem Anteil von 36 Prozent. Neu und bemerkenswert ist jedoch der rasante Anstieg von SVG-Dateien auf 34 Prozent. (Bild: © Joerg Habermeier - stock.adobe.com)")