Tools / Neuigkeiten / Ein einziger Angreifer hat 50 Unternehmen über ihre Cloud-Dateifreigabe-Portale kompromittiert. Ohne Exploit.
Presse

Ein einziger Angreifer hat 50 Unternehmen über ihre Cloud-Dateifreigabe-Portale kompromittiert. Ohne Exploit.

· VaultTools

Eine als 'Zestix' verfolgte Kampagne nutzte gestohlene Infostealer-Zugangsdaten, um sich Anfang 2026 in die ShareFile-, Nextcloud- und OwnCloud-Instanzen von rund 50 globalen Unternehmen einzuloggen. Keine Sicherheitslücken erforderlich. Nur hochgeladene Dateien und fehlendes MFA.

VaultTools · 20. März 2026

Dunkler Computerbildschirm mit Code und einem Cursor, der einen laufenden Cyberangriff darstellt. Foto von Shahadat Rahman auf Unsplash

Inhaltsverzeichnis


Was Passiert Ist

Im Januar 2026 veröffentlichten Forscher von Hudson Rock Erkenntnisse über einen als „Zestix” (auch als „Sentap” bekannt) verfolgten Bedrohungsakteur, der systematisch die Cloud-Dateifreigabe-Infrastruktur von rund 50 großen globalen Unternehmen kompromittiert hatte. Die gestohlenen Daten, darunter Konstruktionspläne, Verteidigungsprojektdateien, Krankenakten und Finanzarchive, wurden anschließend in Cyberkriminalitätsforen versteigert.

Die Kampagne war mindestens seit Ende 2024 aktiv. Öffentliche Beweise, Opferbenachrichtigungen und aktive Darkweb-Auktionen tauchten gemeinsam im Januar 2026 auf und zogen Berichterstattung von BleepingComputer, The Register, SecurityWeek und anderen nach sich. Attributionsforschung von DarkSignal verknüpft den Akteur mit einem iranischen Staatsbürger mit Verbindungen zur Funksec-Cyberkriminellengruppe.

Wie Der Angriff Funktionierte

Es wurde keine Softwareschwachstelle ausgenutzt. Der Angreifer beschaffte gültige Mitarbeiterzugangsdaten aus Infostealer-Malware-Protokollen. Stealer wie RedLine, Lumma und Vidar ernten gespeicherte Passwörter aus Browsern und Anwendungen. Diese Zugangsdaten wurden dann genutzt, um sich direkt in die ShareFile-, Nextcloud- und OwnCloud-Portale der Unternehmen einzuloggen.

Die meisten betroffenen Organisationen hatten keine Multi-Faktor-Authentifizierung für ihre Dateifreigabe-Portale erzwungen. Mit gültigen Zugangsdaten und ohne zweiten Faktor war der Zugang unmittelbar. Einmal drin, lud der Angreifer verfügbare Dateien herunter und stellte die Daten zum Verkauf.

Die Angriffsfläche war keine Softwareschwachstelle. Es waren die Dateien selbst, die auf zugänglichen Servern lagen und darauf warteten, von jemandem abgerufen zu werden, der das richtige Passwort besaß.

Wer Betroffen War

Bestätigte Opfer umspannen Luftfahrt, Verteidigung, Gesundheitswesen, Versorgungsunternehmen, Infrastruktur und Regierungsauftragnehmer in rund 50 Unternehmen weltweit. Hudson Rock identifizierte Iberia Airlines, von dem 77 GB technischer Sicherheits- und Flottendaten entwendet wurden, sowie Intecro Robotics, von dem 11,5 GB einschließlich militärischem geistigen Eigentum gestohlen wurden. Die vollständige Opferliste umfasst Organisationen in Europa, dem Nahen Osten und den Amerikas.

Warum Hochgeladene Dateien Das Ziel Sind

Cloud-Dateifreigabeplattformen halten Dokumente vor, weil das ihre Funktion ist. Ein Nutzer lädt einen sensiblen Vertrag, eine Designdatei oder eine Krankenakte hoch, um sie zu teilen oder zu konvertieren, und diese Datei verbleibt auf der Infrastruktur der Plattform, bis sie explizit entfernt wird. Sie ist über die Authentifizierungsschicht der Plattform zugänglich, solange sie dort gespeichert ist.

Dies schafft ein dauerhaftes, zentralisiertes Repository sensibler Dokumente. Angreifer, die gültige Zugangsdaten erhalten, durch Phishing, Infostealer-Infektionen oder den Kauf über Datenbörsen, erhalten Zugang zu allem dort Gespeicherten. Der Einbruch erfordert keinen ausgefeilten Exploit. Er erfordert ein Passwort.

Online-Dateiverarbeitungstools schaffen dieselbe Angriffsfläche. Ein PDF, das zu einem Cloud-basierten Komprimierungs- oder Konvertierungsdienst hochgeladen wird, gelangt zu einem entfernten Server, wo es verarbeitet und je nach Aufbewahrungsrichtlinie des Dienstes vorübergehend oder dauerhaft gespeichert wird. Die Datei befindet sich ab dem Moment des Hochladens außerhalb der Kontrolle des Nutzers.

Was Das Für Die Datei-Privatsphäre Bedeutet

Die Zestix-Kampagne zeigt, dass das Risiko bei der Cloud-Dateiverarbeitung nicht hypothetisch ist. Dateien, die Drittservern anvertraut werden, sind nur so sicher wie die Zugangsdaten, die diese Server schützen, und Zugangsdatendiebstahl durch Infostealer-Malware ist industrialisiert und weit verbreitet.

Dateiverarbeitungstools, die vollständig im Browser mittels WebAssembly laufen, eliminieren diese Angriffsfläche by Design. Das Dokument wird von der Festplatte des Nutzers gelesen, lokal im Browser-Tab verarbeitet und auf die Festplatte zurückgeschrieben. Kein Server empfängt die Datei. Es gibt keine Zugangsdaten zu stehlen, keine Aufbewahrungsrichtlinie zu prüfen und keinen Server, den man kompromittieren könnte.

Die Zestix-Kampagne zielte auf Cloud-Datei­speicherung, weil sich dort Dateien ansammeln. Browser-basierte Verarbeitung bedeutet, dass Dateien sich niemals außerhalb des Geräts ansammeln.


Quellen