Das US-Außenministerium bietet eine Belohnung von 10 Millionen Dollar für Hinweise auf zwei russische staatliche Hackergruppen, UNC5792 und UNC4221, denen eine anhaltende Phishing-Kampagne gegen Signal- und WhatsApp-Nutzer mit Verbindungen zu NATO-Regierungen, Militärführung und Zivilgesellschaft vorgeworfen wird.
Die am 29. Juni 2026 im Rahmen des Rewards-for-Justice-Programms des Außenministeriums angekündigte Belohnung gehört zu den größten öffentlichen Angeboten für Informationen über russische Cyberakteure, die gezielt Konten in verschlüsselten Messenger-Apps angreifen statt die Verschlüsselung der Apps selbst.
Wer sind UNC5792 und UNC4221?
Sicherheitsforscher ordnen UNC5792 dem Grenzschutzdienst des FSB zu, UNC4221 dem russischen Militärgeheimdienst. Beide Gruppen führen seit mindestens 2025 parallele Phishing-Kampagnen gegen Signal- und WhatsApp-Konten, wie aktualisierte Warnungen von FBI und CISA aus diesem Jahr zeigen.
Phishing des Backup-Schlüssels, kein Signal-Exploit
Die Angreifer brechen nicht die Verschlüsselung von Signal oder WhatsApp. Stattdessen geben sie sich als offizieller Support aus und kontaktieren Zielpersonen direkt mit der Behauptung, eine verpflichtende Zwei-Faktor-Verifizierung erfordere die erneute Eingabe des Signal-Backup-Wiederherstellungsschlüssels. Opfer, die darauf eingehen, geben genau die eine Zugangsdaten preis, die ihre gesamte Nachrichtenhistorie öffnet und es Angreifern erlaubt, unbemerkt ein zweites Gerät mit dem Konto zu verknüpfen.
- Identitätsvortäuschung: Nachrichten wirken, als kämen sie vom Signal- oder WhatsApp-Support.
- Vorwand: Ein vorgetäuschter verpflichtender Sicherheits- oder Verifizierungsschritt.
- Beute: Der eigene Backup-Wiederherstellungsschlüssel des Opfers, direkt in den Chat eingegeben.
- Ergebnis: Voller Lesezugriff auf vergangene Unterhaltungen und unbemerkte Geräteverknüpfung.
Journalisten und NGOs waren ausdrückliche Ziele
Außenministerium und FBI beschreiben einen Opferkreis, der weit über uniformiertes Personal hinausgeht. Neben Regierungs-, Diplomatie-, Verteidigungs- und Geheimdienstbeamten der USA und der NATO zielte die Kampagne gezielt auf Journalisten, die über Russland und die Ukraine berichten, auf NGOs, die die Ukraine unterstützen, sowie auf Politikanalysten und Forscher mit Schwerpunkt russische Sicherheitsfragen. Für Reporter und Aktivisten, die sich gerade wegen des Rufs von Signal als abhörsicher für diese App entscheiden, ist die Kampagne eine Erinnerung daran, dass das schwächste Glied selten im Protokoll selbst liegt.
Tausende Konten, eine Belohnung
Behörden zufolge wurden durch diese Technik im Rahmen beider Kampagnen tausende kommerzielle Messenger-Konten kompromittiert. Die Belohnung von 10 Millionen Dollar soll Insider oder Mitwisser dazu bewegen, einzelne Akteure hinter UNC5792 und UNC4221 zu identifizieren - nach demselben Muster, das Rewards for Justice bereits gegen andere staatlich gelenkte Hackergruppen angewendet hat.
So schützen Sie sich
- Geben Sie Ihren Signal-Backup-Wiederherstellungsschlüssel oder die WhatsApp-Zwei-Schritt-PIN niemals weiter, auch nicht an Konten, die sich als „Support" ausgeben.
- Prüfen Sie regelmäßig verknüpfte Geräte in Signal (Einstellungen -> Verknüpfte Geräte) und WhatsApp (Einstellungen -> Verknüpfte Geräte) und entfernen Sie alles Unbekannte.
- Aktivieren Sie die Registrierungssperre bzw. Zwei-Schritt-Verifizierung mit einer PIN, die nur Sie kennen.
- Behandeln Sie unaufgeforderte Nachrichten zur „erforderlichen Verifizierung" grundsätzlich als Phishing, egal wie offiziell sie wirken.
Ein VPN stoppt diesen speziellen Angriff nicht, da das Phishing innerhalb der Messenger-App selbst stattfindet und nicht auf Netzwerkebene - aber für Journalisten und NGO-Mitarbeiter, die in oder über Russland und die Ukraine berichten, bleibt ein VPN wichtig, um Standort und Browsing-Aktivität vor denselben staatlichen Akteuren zu verbergen, die hinter diesen Phishing-Kampagnen stehen.