26.05.2026 16:53

Update #1: Qilin-Ransomware nutzt Initial Access aus ZipLine-Kampagne — DACH-Recruiting-Domains im Fokus

Update #1: Qilin-Ransomware nutzt Initial Access aus ZipLine-Kampagne — DACH-Recruiting-Domains im Fokus

Wir haben Hinweise darauf, dass die Ransomware-Gruppe Qilin Initial Access von Akteur:innen der ZipLine-Phishing-Kampagne erwirbt und für eigene Verschlüsselungs- und Erpressungsoperationen weiterverwendet. In Österreich liegen uns bereits bestätigte Fälle vor. Aus der Schweiz wurde uns ein Vorfall gemeldet, bei dem die ZipLine-Kette ebenfalls als Root Cause identifiziert wurde.

Die ZipLine-Kampagne wurde Ende 2025 von Check Point Research erstmals umfassend beschrieben und richtet sich gezielt gegen kritische Fertigung und exportorientierte Mittelständler. Die Angreifer:innen treten als Recruiter oder Personalvermittler:innen auf, initiieren über das öffentliche Kontaktformular der Zielunternehmen einen längeren, scheinbar legitimen Schriftverkehr und bringen die Opfer erst nach Tagen oder Wochen dazu, eine präparierte ZIP-Datei zu öffnen.

Im DACH-Raum sehen wir aktuell vor allem Köderdomains mit Recruiting-Bezug. Folgende Absenderdomains sollten im eingehenden Mailverkehr (mindestens die letzten 90 Tage) retrospektiv ausgewertet werden:

  • jn-recruitment[.]at
  • headmatch[.]at
  • alpentalent[.]at
  • steinersearch[.]at

Diese Liste ist nicht abschließend — das Muster (deutschsprachige, vermeintlich seriöse Personalvermittlungs-Domains mit .at-TLD, gefolgt von längerem, unauffälligem Schriftverkehr und einer späteren ZIP-Zustellung) ist das eigentlich relevante Indiz.

Update #1: 26. Mai 2026

Uns sind weitere Köderdomains bekannt geworden, die demselben Muster folgen:

  • valenzsearch[.]at
  • haasrecruiting[.]at
  • bergersearch[.]at

Für haasrecruiting[.]at und bergersearch[.]at sind erst kürzlich TLS-Zertifikate ausgestellt worden. Wir gehen daher davon aus, dass über diese Domänen in Bälde Phishing-Mails verschickt werden, auch wenn entsprechende Zustellungen bislang noch nicht beobachtet wurden. Beide Domänen sollten daher präventiv in entsprechende Block- bzw. Watchlists aufgenommen werden.

Die E-Mails der Kampagne werden über dedizierte Microsoft-365-MX-Einträge zugestellt. Pro Köderdomain <name>.at existieren dabei jeweils zwei zugehörige MX-Hosts — einer mit dem Suffix -at und einer mit dem Suffix -com, jeweils nach dem Schema <name>-<suffix>.mail.protection.outlook.com. Für steinersearch.at etwa:

  • steinersearch-at.mail.protection.outlook.com
  • steinersearch-com.mail.protection.outlook.com