22.05.2026 17:29

Qilin-Ransomware nutzt Initial Access aus ZipLine-Kampagne — DACH-Recruiting-Domains im Fokus

Wir haben Hinweise darauf, dass die Ransomware-Gruppe Qilin Initial Access von Akteur:innen der ZipLine-Phishing-Kampagne erwirbt und für eigene Verschlüsselungs- und Erpressungsoperationen weiterverwendet. In Österreich liegen uns bereits bestätigte Fälle vor. Aus der Schweiz wurde uns ein Vorfall gemeldet, bei dem die ZipLine-Kette ebenfalls als Root Cause identifiziert wurde.

Die ZipLine-Kampagne wurde Ende 2025 von Check Point Research erstmals umfassend beschrieben und richtet sich gezielt gegen kritische Fertigung und exportorientierte Mittelständler. Die Angreifer:innen treten als Recruiter oder Personalvermittler:innen auf, initiieren über das öffentliche Kontaktformular der Zielunternehmen einen längeren, scheinbar legitimen Schriftverkehr und bringen die Opfer erst nach Tagen oder Wochen dazu, eine präparierte ZIP-Datei zu öffnen.

Im DACH-Raum sehen wir aktuell vor allem Köderdomains mit Recruiting-Bezug. Folgende Absenderdomains sollten im eingehenden Mailverkehr (mindestens die letzten 90 Tage) retrospektiv ausgewertet werden:

• jn-recruitment[.]at
• headmatch[.]at
• alpentalent[.]at
• steinersearch[.]at

Diese Liste ist nicht abschließend — das Muster (deutschsprachige, vermeintlich seriöse Personalvermittlungs-Domains mit .at-TLD, gefolgt von längerem, unauffälligem Schriftverkehr und einer späteren ZIP-Zustellung) ist das eigentlich relevante Indiz.