Qilin-Ransomware nutzt Initial Access aus ZipLine-Kampagne — DACH-Recruiting-Domains im Fokus | CERT.at

Wir haben Hinweise darauf, dass die Ransomware-Gruppe Qilin Initial Access von Akteur:innen der ZipLine-Phishing-Kampagne erwirbt und für eigene Verschlüsselungs- und Erpressungsoperationen weiterverwendet. In Österreich liegen uns bereits bestätigte Fälle vor. Aus der Schweiz wurde uns ein Vorfall gemeldet, bei dem die ZipLine-Kette ebenfalls als Root Cause identifiziert wurde. Die ZipLine-Kampagne wurde Ende 2025 von Check Point Research erstmals umfassend beschrieben und richtet sich gezielt gegen kritische Fertigung und exportorientierte Mittelständler. Die Angreifer:innen treten als Recruiter oder Personalvermittler:innen auf, initiieren über das öffentliche Kontaktformular der Zielunternehmen einen längeren, scheinbar legitimen Schriftverkehr und bringen die Opfer erst nach Tagen oder Wochen dazu, eine präparierte ZIP-Datei zu öffnen.