Hochentwickelte Phishing-Kampagne „ZipLine“ zielt auf Fertigungs- und Lieferkettenindustrie ab

Check Point Research, die Sicherheitsforscher von Check Point Software Technologies warnt vor „ZipLine“, eine der fortschrittlichsten Social-Engineering-Phishing-Kampagnen der vergangenen Jahre. Die Attacken zielen präzise auf Unternehmen der US-amerikanischen

und kombinieren neuartige Angriffsmethoden mit hohem Schadenspotenzial.

Zipline: Umgedrehter Phishing-Ansatz

Anstatt klassische Phishing-E-Mails zu versenden, wenden die Angreifer eine ungewöhnliche Vorgehensweise an: Sie nehmen über die öffentlichen „Kontaktieren Sie uns“-Formulare der Unternehmen Kontakt auf. Damit leiten die Opfer selbst die erste E-Mail ein – ein Trick, der gängige Reputationsfilter umgeht und der Kommunikation von Beginn an ein seriöses Erscheinungsbild verleiht.

Über Wochen hinweg konstruieren die Täter dabei professionelle und glaubwürdige E-Mail-Konversationen. Teilweise fordern sie sogar die Unterzeichnung von NDAs (Non-Disclosure Agreements) und senden anschließend gezielt präparierte ZIP-Dateien. Diese enthalten sowohl unauffällige Dokumente als auch versteckte, manipulierte LNK-Dateien. Beim Öffnen starten diese eine PowerShell-Kette und installieren die Malware Mixshell.

Mixshell: Stealth-Malware mit persistenter Kontrolle

Darstellung des Ablaufs der Zipline-Kampagne.

Bei dieser Malware handelt es sich um eine individuell entwickelte Nutzlast, die vollständig im Arbeitsspeicher läuft und somit klassische Sicherheitskontrollen umgeht. Sie ermöglicht Angreifern:

Nutzung von DNS-TXT-Tunneling mit HTTP-Fallback für verdeckte C2-Kommunikation.
Remote-Ausführung von Befehlen und Dateioperationen.
Aufbau von Reverse-Proxy-Tunneln für tiefere Netzwerkzugriffe.
Persistente Kontrolle infizierter Systeme ohne Spuren im Dateisystem.

KI-Trend als Köder

In einer zweiten Angriffswelle nutzen die Täter den Trend rund um KI aus. Unter dem Vorwand interner „AI Impact Assessments” werden Mitarbeitende aufgefordert, Fragebögen zur Effizienzsteigerung durch KI zu prüfen. Zwar wurde in diesen Beispielen keine Malware entdeckt, doch die Wiederverwendung der Infrastruktur deutet auf denselben ZIP-Delivery-Mechanismus hin.

Hohe Risiken für Fertigungs- und Lieferkettenunternehmen

Die Ziele von ZipLine sind Unternehmen, deren Daten und Systeme von kritischer Bedeutung sind. Mögliche Folgen erfolgreicher Angriffe:

Diebstahl geistigen Eigentums und Erpressung durch Ransomware.
Finanzbetrug durch gestohlene Zugangsdaten und Business-E-Mail-Compromise.
Störungen der Lieferkette mit potenziellen Kettenreaktionen über ganze Industrien hinweg.

Zur Abwehr von Kampagnen wie „ZipLine“ empfiehlt sich eine mehrschichtige Sicherheitsstrategie für E-Mail- und Kollaborationsdienste mit folgenden Funktionen:

Phishing-Erkennung mit ML/NLP, die Kommunikationsmuster und Gesprächskontext bewertet – nicht nur einzelne Nachrichten.
Sandboxing/Threat Emulation für Anhänge (z. B. ZIP-Archive): Dateien isoliert ausführen und bei verdächtigem Verhalten blockieren.
Click-Time-URL-Prüfung: Links beim Anklicken erneut bewerten, um umgeleitete oder frisch kompromittierte Ziele zu stoppen.
Kontoschutz per Verhaltensanalyse (und ergänzend MFA/risikobasierter Zugriff), um Kontoübernahmen und Business Email Compromise zu erkennen und zu verhindern.
Data-Loss-Prevention (DLP) mit Richtlinien, Klassifizierung und Verschlüsselung für geistiges Eigentum und sensible Lieferkettendaten.

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Research: „Die Zipline-Kampagne ist ein Weckruf für alle Unternehmen, die glauben, dass Phishing nicht mehr ist als verdächtige Links in E-Mails. Angreifer entwickeln sich schneller denn je weiter – sie kombinieren menschliche Psychologie, vertrauenswürdige Kommunikationskanäle und zeitgemäße KI-Themen als Köder. Um sicher zu bleiben, müssen Unternehmen präventive, KI-gestützte Abwehrmaßnahmen ergreifen und eine Kultur der Wachsamkeit schaffen, in der alles, was im Postfach landet, als potenzielle Bedrohung behandelt wird.“

Fazit

Zipline zeigt, wie ausgeklügelt Social-Engineering-Angriffe inzwischen sind. Webformular-Missbrauch, langfristige E-Mail-Konversationen und KI-bezogene Köder machen herkömmliche Erkennungsmethoden wirkungslos. Um mit der Geschwindigkeit der Angreifer Schritt zu halten, müssen Unternehmen auf ganzheitliche Schutzlösungen setzen.

Info: Weitere Informationen und eine technische Analyse von Zipline finden sich hier: https://research.checkpoint.com/2025/zipline-phishing-campaign/

#CheckPoint

Über 1000 Infografiken

Backgrounder zu Cybercrime

Wissenswertes zu Blockchain

Die interessantesten und größten Videowalls

Wissenswertes zu Social-Media

Just for fun

Partner von Netzpalaver

Netzpalaver-Podcasts

Paessler-Podcast

Internet Safety for Kids

Hochentwickelte Phishing-Kampagne „ZipLine“ zielt auf Fertigungs- und Lieferkettenindustrie ab

Zipline: Umgedrehter Phishing-Ansatz

Mixshell: Stealth-Malware mit persistenter Kontrolle

KI-Trend als Köder

Hohe Risiken für Fertigungs- und Lieferkettenunternehmen

Weitere interessante Beiträge

Chinesische Cyberspionage-Gruppe Silver-Dragon hat Behörden in Europa und Asien im Visier

Hybride Kriegsführung im digitalen Zeitalter – Warum Systeme der künstlichen Intelligenz und Lieferketten zur strategischen Angriffsfläche werden

Hiscout und Bearingpoint stärken gemeinsam die Resilienz der öffentlichen Verwaltung

Cybersicherheit und KI-Governance direkt im Browser

Cyberspionage-Kampagne zielt auf staatliche Einrichtungen und kritische Infrastruktur

Internationaler Weltfrauentag – Cybercrime kennt kein Geschlecht, aber oft ein Ziel