{"id":10649,"date":"2025-05-23T13:22:38","date_gmt":"2025-05-23T13:22:38","guid":{"rendered":"https:\/\/www.forenova.com\/de\/blog\/\/"},"modified":"2025-08-21T06:43:19","modified_gmt":"2025-08-21T06:43:19","slug":"missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/","title":{"rendered":"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">In October 2024, the Global Threat Intelligence Group (GTIG) tracked an email phishing campaign targeting European governments and the military. GTIG tracked this <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/10\/31\/foreign-threat-actor-conducting-large-scale-spearphishing-campaign-rdp-attachments\" target=\"_blank\" rel=\"noreferrer noopener\">phishing attack<\/a> to a unit called UNC5837. UNC5837 is believed to be a suspected Russian-nexus espionage hacker outfit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im Oktober 2024 verfolgte die Global Threat Intelligence Group (GTIG) eine <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/10\/31\/foreign-threat-actor-conducting-large-scale-spearphishing-campaign-rdp-attachments\" target=\"_blank\" rel=\"noreferrer noopener\">E-Mail-Phishing-Kampagne<\/a>, die sich gezielt gegen europ\u00e4ische Regierungsstellen und das Milit\u00e4r richtete. Die Spur f\u00fchrte zu einer Einheit namens UNC5837, die als russisch-nahestehende Spionagegruppe eingestuft wird.<\/p>\n\n\n\n<div class=\"wp-block-media-text is-stacked-on-mobile\" style=\"grid-template-columns:26% auto\"><figure class=\"wp-block-media-text__media\"><img fetchpriority=\"high\" decoding=\"async\" width=\"282\" height=\"419\" src=\"https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/image-10.png\" alt=\"\" class=\"wp-image-10622 size-full\" srcset=\"https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/image-10.png 282w, https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/image-10-202x300.png 202w\" sizes=\"(max-width: 282px) 100vw, 282px\" \/><\/figure><div class=\"wp-block-media-text__content\">\n<p class=\"wp-block-paragraph\">Im Anhang der Phishing-E-Mails befand sich eine RDP-Datei. Nutzer, die versuchten, diese zu \u00f6ffnen, l\u00f6sten unbeabsichtigt eine sogenannte \u201eRogue-RDP\u201c-Sitzung aus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Remote Desktop Protocol (RDP) wird \u00fcblicherweise f\u00fcr den Fernzugriff auf Workstations und Server genutzt. Allein seine Pr\u00e4senz wird in vielen Organisationen jedoch nicht automatisch als Bedrohung wahrgenommen \u2013 ein gef\u00e4hrlicher Trugschluss.<\/p>\n<\/div><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>RDP als Einfallstor bei der EU? Von einem Einzelfall kann keine Rede sein.<\/strong><\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser RDP-Angriff sollte als deutliches Warnsignal f\u00fcr alle Organisationen verstanden werden, die Remote Desktop Protocol weiterhin ohne ausreichende Schutzma\u00dfnahmen nutzen. Wer auf Sicherheitsvorkehrungen verzichtet, riskiert \u00e4hnliche Konsequenzen wie die betroffenen EU-Beh\u00f6rden.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Fakt:<\/strong> Schwache Passw\u00f6rter im RDP-Zugriff erh\u00f6hen signifikant das Risiko erfolgreicher Brute-Force-Angriffe und damit schwerwiegender Sicherheitsverletzungen.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Fakt:<\/strong> Die Nutzung von RDP mit Standard-Sicherheitseinstellungen beg\u00fcnstigt unautorisierte Proxy-Sitzungen \u2013 insbesondere auf Laufwerksfreigaben und Dateisysteme.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Fakt:<\/strong> Ohne den Einsatz fortschrittlicher Monitoring-Tools oder MDR-Dienste bleiben fr\u00fche Anzeichen eines Rogue-RDP-Angriffs in der Regel unentdeckt.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>Folgen der RDP-Angriffe in Europa<\/strong><\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die gezielte Attacke von UNC5837 auf europ\u00e4ische Regierungen und deren milit\u00e4rische Forschungs- und Entwicklungsprogramme macht die eigentliche Absicht der Gruppe deutlich. Besonders alarmierend ist ihre F\u00e4higkeit, lokale Laufwerksressourcen aus der Ferne auf eigene Server umzuleiten \u2013 eine Technik, die eine simultane und weitgehend unentdeckte Datenexfiltration erm\u00f6glicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dabei stehen nicht nur technische Informationen auf dem Spiel: NATO-Kriegspl\u00e4ne, Truppenbewegungen und selbst politische Differenzen im Zusammenhang mit dem Ukraine-Krieg k\u00f6nnten auf diese Weise kompromittiert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Solche Angriffe wurden bereits mehrfach beobachtet \u2013 auch bei anderen europ\u00e4ischen Regierungen. Zum Einsatz kamen dabei bekannte RDP-Tools, darunter gezielte Port- und Crawler-Scans, mit denen sich Schwachstellen effektiv ausnutzen lassen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders brisant: Einige dieser Angriffe wurden direkt aus der europ\u00e4ischen Cloud-Infrastruktur von Microsoft heraus initiiert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>Die RDP-Waffe der UNC5837-Gruppe im \u00dcberblick<\/strong><\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Missbrauch des Remote Desktop Protocol (RDP) als Angriffsvektor ist kein neues Ph\u00e4nomen. Sicherheitsteams weltweit kennen die Schwachstellen des Protokolls \u2013 ebenso wie die Risiken, die durch Phishing-Kampagnen entstehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im vorliegenden Fall tarnte sich die Phishing-Mail als Mitteilung zu einem angeblichen Gemeinschaftsprojekt von Amazon, Microsoft und der Staatlichen Sicherheits- und Kommunikationsagentur der Ukraine. Der Anhang enthielt eine RDP-Datei, die angeblich projektbezogene Inhalte bereitstellen sollte. Besonders perfide: Die Absender warnten explizit davor, pers\u00f6nliche Daten einzugeben, und forderten die Empf\u00e4nger auf, etwaige Fehlermeldungen zu ignorieren \u2013 mit dem Hinweis, das System w\u00fcrde automatisch eine Sicherheitsmeldung an die zust\u00e4ndige IT-Abteilung senden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In der beigef\u00fcgten RDP-Datei waren Konfigurationsbefehle eingebettet, die definieren, welche Funktionen w\u00e4hrend der Remote-Sitzung verf\u00fcgbar sind. So erhielten Angreifer Zugriff auf Tastatur, Maus, Drucker, lokale Laufwerke \u2013 und nicht zuletzt auf die Zwischenablage des kompromittierten Windows-Systems.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>PyRDP: Turning Known RDP Utilization into a Rogue Tool<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>PyRDP: Vom legitimen Tool zur Waffe im Schattennetz<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/windows-rogue-remote-desktop-protocol\">PyRDP<\/a> ist ein Proxy-Werkzeug, das gezielt dazu eingesetzt wurde, RDP in diesem Angriff zu automatisieren und gleichzeitig einer Erkennung zu entgehen. Dabei werden keine klassischen Schwachstellen ausgenutzt oder offengelegt \u2013 stattdessen erweitert PyRDP die Steuerungsm\u00f6glichkeiten zugunsten des unautorisierten Remote-Benutzers.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im konkreten Fall nutzte der Angreifer PyRDP auf einem Man-in-the-Middle-(MiTM)-Server, um die Zugangsdaten der Nutzer abzugreifen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Art von Anmeldedaten-Diebstahl erm\u00f6glicht es, bestehende Laufwerkszuordnungen des Opfers gezielt auf einen manipulierten RDP-Server umzuleiten \u2013 ohne dass der Angriff direkt auff\u00e4llt.heft tool extends the hacker&#8217;s ability to redirect the victim\u2019s drive mappings to a rogue RDP server.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>Warum diese Kill Chain globale CERT-Teams alarmiert<\/strong><\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Moderne SecOps-Systeme sind darauf ausgelegt, auff\u00e4llige Verhaltensmuster in Anwendungen, abweichende Nutzerinteraktionen sowie verd\u00e4chtige Datenabfl\u00fcsse an Remote-Server zu erkennen. Doch genau hier zeigt sich die Raffinesse des Angriffs von UNC5837: Die Angreifer nutzten die RemoteApp-Funktion gezielt als Ablenkung \u2013 getarnt als harmloser \u201eAWS Secure Storage Connection Stability Test\u201c.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein derartiges Verhalten kann w\u00e4hrend einer RDP-Sitzung leicht als unkritisch eingestuft und von Sicherheitsverantwortlichen \u00fcbersehen werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">RemoteApp ist eine optionale RDP-Funktion, bei der Programme zwar auf einem Remote-Server ausgef\u00fchrt, jedoch als normale Fensteranwendungen auf dem Client-System dargestellt werden. Diese Technik erlaubt es Angreifern, b\u00f6sartige Programme lokal erscheinen zu lassen, ohne dass diese tats\u00e4chlich auf dem Rechner des Opfers gespeichert oder ausgef\u00fchrt werden m\u00fcssen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Analyse ergab, dass die eingesetzte RemoteApp nicht lokal installiert oder aktiv war \u2013 ein g\u00e4ngiges Verfahren, das auch von legitimen Sicherheitsteams genutzt wird, um Anwendungen wie Outlook.exe, Word.exe oder Excel.exe auf entfernten RDP-Servern auszuf\u00fchren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im vorliegenden Fall nutzte UNC5837 RemoteApp, um \u00fcber eine verschl\u00fcsselte Verbindung gezielt Befehlszeilenanweisungen auf RDP-Servern der UNC58776-Infrastruktur auszuf\u00fchren. Dadurch wurden fortschrittliche Endpoint-Schutzsysteme daran gehindert, den Start lokaler .exe-Dateien zu erkennen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der beunruhigendste Aspekt: Der Angriff basierte nicht auf einer ausgenutzten Schwachstelle, sondern auf der bewussten Erweiterung legitimer RDP-Funktionen. Das wirft eine zentrale Frage auf: Worauf genau sollen Sicherheitsteams k\u00fcnftig achten, um vergleichbare Angriffe rechtzeitig zu erkennen und zu verhindern?<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Aktuelle und zuk\u00fcnftige Sicherheitsrisiken im Zusammenhang mit RDP<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wie bei vielen fr\u00fchen Microsoft-Technologien lag der Fokus bei der Entwicklung des Remote Desktop Protocol (RDP) vor allem auf Benutzerfreundlichkeit und Funktionalit\u00e4t \u2013 weniger auf Sicherheit. RDP bietet leistungsstarke Features wie End-to-End-Verschl\u00fcsselung, die Remote-Ausf\u00fchrung von Programmen und die Unterst\u00fctzung vollst\u00e4ndig virtualisierter Desktop-Umgebungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Anwendungsf\u00e4lle bleiben f\u00fcr viele Unternehmen relevant \u2013 und damit auch das Risiko.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die interne Einschr\u00e4nkung von RDP-\u00e4hnlichen Funktionen ist zwar ein sinnvoller erster Schritt. Doch mit dem zunehmenden Umstieg auf hybride Cloud-Infrastrukturen im Rahmen digitaler Transformationsstrategien entstehen neue Angriffspunkte. Insbesondere die Nutzung von RDP in Cloud-Instanzen kann dabei zur sicherheitskritischen Schwachstelle werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>Das Unvermeidbare verhindern<\/strong><\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Microsofts Remote Desktop Protocol (RDP) bietet verschiedene Sicherheitsfunktionen, darunter Netzwerkebene-Authentifizierung, Verschl\u00fcsselung und granulare Zugriffskontrollen. Die Authentifizierung auf Netzwerkebene verlangt eine Nutzerverifizierung noch vor Aufbau der eigentlichen Sitzung \u2013 ein wirksamer Schutzmechanismus. Verschl\u00fcsselung verhindert das Abh\u00f6ren sensibler Daten, und durch Zugriffskontrollen lassen sich Berechtigungen gezielt verwalten und der Zugriff auf kritische Ressourcen einschr\u00e4nken.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Trotz dieser Schutzmechanismen bleibt RDP ein lohnendes Angriffsziel. Brute-Force-Attacken z\u00e4hlen weiterhin zu den gr\u00f6\u00dften Risiken, insbesondere bei schwachen Passw\u00f6rtern und fehlenden Sperrmechanismen nach fehlgeschlagenen Login-Versuchen. Ohne zus\u00e4tzliche Schutzebenen ist RDP zudem anf\u00e4llig f\u00fcr Man-in-the-Middle-Angriffe, Session-Hijacking oder das Auslesen von Netzwerkverkehr durch Sniffing.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>Empfehlungen<\/strong><\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um Angriffe \u00fcber RDP-Ressourcenumleitung wirksam zu unterbinden, reicht eine einzelne Schutzma\u00dfnahme nicht aus. Der gezielte Einsatz mehrerer Angriffsvektoren innerhalb der Kill Chain von UNC5837 verdeutlicht, wie wichtig ein mehrschichtiger Sicherheitsansatz ist. Nur durch die Kombination verschiedener Verteidigungsmechanismen l\u00e4sst sich ein wirksamer Schutz gegen komplexe Bedrohungen gew\u00e4hrleisten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong><strong>Erweiterte Protokollierung f\u00fcr Windows-Systeme<\/strong>ms<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Protokolldaten lieferten SecOps-Ingenieuren entscheidende Hinweise zur schnellen Erkennung unautorisierter RDP-Sitzungen \u2013 etwa wenn RDP unerwartet auf einer oder mehreren Windows-Workstations aktiv wurde. Durch den Einsatz erweiterter Detection- und Response-Plattformen (XDR) sowie KI-gest\u00fctzter <a href=\"https:\/\/www.forenova.com\/de\/managed-detection-and-response-mdr\/\" target=\"_blank\" rel=\"noreferrer noopener\">MDR<\/a>-Dienste lassen sich solche Aktivit\u00e4ten noch schneller und pr\u00e4ziser identifizieren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Erweiterte E-Mail-Sicherheit zur Erkennung von RDP-Dateien<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmen sollten auf fortschrittliche E-Mail-Sicherheitsl\u00f6sungen setzen, die k\u00fcnstliche Intelligenz nutzen, um Anh\u00e4nge gezielt nach verd\u00e4chtigen Dateitypen zu durchsuchen \u2013 insbesondere nach RDP-Konfigurationsdateien, die mit externen Adressen verkn\u00fcpft sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong><strong>Aktivierung von Windows-Sicherheitsrichtlinien<\/strong><\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der Angriff von UNC5837 basierte auf regul\u00e4ren RDP-Funktionen \u2013 gerade deshalb ist das Aktivieren restriktiver OS-Richtlinien essenziell. Dazu z\u00e4hlen das Blockieren von Remote-Umleitungen f\u00fcr Laufwerke, Tastatureingaben und Mausaktionen sowie das Sperren verd\u00e4chtiger Registrierungseintr\u00e4ge.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>Fazit und Empfehlungen<\/strong><\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">This attack highlights that even the best-intentioned IT tools, such as RDP, can be compromised and used maliciously. Enabling proactive monitoring, strong defensive layers, and awareness training keeps attacks like this from happeningDer vorliegende Angriff zeigt deutlich, dass selbst etablierte IT-Werkzeuge wie das Remote Desktop Protocol (RDP) gezielt kompromittiert und f\u00fcr kriminelle Zwecke missbraucht werden k\u00f6nnen. Nur durch proaktive \u00dcberwachung, mehrschichtige Sicherheitsarchitekturen und kontinuierliche Sensibilisierung der Mitarbeitenden lassen sich derartige Angriffe effektiv verhindern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmen, die mit Fachkr\u00e4ftemangel im Bereich IT-Security zu k\u00e4mpfen haben, sollten in Erw\u00e4gung ziehen, einen MDR-<a href=\"https:\/\/www.forenova.com\/de\/managed-detection-and-response-mdr\/\" target=\"_blank\" rel=\"noreferrer noopener\">Anbieter<\/a> wie ForeNova zu beauftragen. Dessen KI-gest\u00fctzte \u00dcberwachungs-, Protokollierungs- und automatisierte Response-Funktionen bieten eine wirkungsvolle Grundlage, um unautorisierte RDP-Sitzungen fr\u00fchzeitig zu erkennen und den Diebstahl sensibler Daten und Zugangsdaten zu verhindern..<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In October 2024, the Global Threat Intelligence Group (GTIG) tracked an email phishing campaign targeting European governments and the military. GTIG tracked this phishing attack to a unit called UNC5837. UNC5837 is believed to be a suspected Russian-nexus espionage hacker outfit. Im Oktober 2024 verfolgte die Global Threat Intelligence Group (GTIG) eine E-Mail-Phishing-Kampagne, die sich [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":10780,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[610],"tags":[423],"class_list":["post-10649","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-cybersecurity"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.9 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse - Forenova<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse - Forenova\" \/>\n<meta property=\"og:description\" content=\"In October 2024, the Global Threat Intelligence Group (GTIG) tracked an email phishing campaign targeting European governments and the military. GTIG tracked this phishing attack to a unit called UNC5837. UNC5837 is believed to be a suspected Russian-nexus espionage hacker outfit. Im Oktober 2024 verfolgte die Global Threat Intelligence Group (GTIG) eine E-Mail-Phishing-Kampagne, die sich [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/\" \/>\n<meta property=\"og:site_name\" content=\"Forenova\" \/>\n<meta property=\"article:published_time\" content=\"2025-05-23T13:22:38+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-21T06:43:19+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/Noodlophile-InfoStealer-\u526f\u672c.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1366\" \/>\n\t<meta property=\"og:image:height\" content=\"768\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"ForeNova\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"ForeNova\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"7 Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/\"},\"author\":{\"name\":\"ForeNova\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#\\\/schema\\\/person\\\/853d5bf49545ee26b44d7b446df73bda\"},\"headline\":\"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse\",\"datePublished\":\"2025-05-23T13:22:38+00:00\",\"dateModified\":\"2025-08-21T06:43:19+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/\"},\"wordCount\":1390,\"publisher\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2025\\\/04\\\/Noodlophile-InfoStealer-\u526f\u672c.png\",\"keywords\":[\"Cybersecurity\"],\"articleSection\":[\"Blog\"],\"inLanguage\":\"de-DE\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/\",\"url\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/\",\"name\":\"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse - Forenova\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2025\\\/04\\\/Noodlophile-InfoStealer-\u526f\u672c.png\",\"datePublished\":\"2025-05-23T13:22:38+00:00\",\"dateModified\":\"2025-08-21T06:43:19+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/#breadcrumb\"},\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2025\\\/04\\\/Noodlophile-InfoStealer-\u526f\u672c.png\",\"contentUrl\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2025\\\/04\\\/Noodlophile-InfoStealer-\u526f\u672c.png\",\"width\":1366,\"height\":768,\"caption\":\"Infostealer\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/blog\\\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/\",\"name\":\"Forenova\",\"description\":\"Forenova\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de-DE\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#organization\",\"name\":\"Forenova\",\"url\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2026\\\/03\\\/cropped-ForeNova-Version-white-scaled-1.png\",\"contentUrl\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2026\\\/03\\\/cropped-ForeNova-Version-white-scaled-1.png\",\"width\":2373,\"height\":586,\"caption\":\"Forenova\"},\"image\":{\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/#\\\/schema\\\/person\\\/853d5bf49545ee26b44d7b446df73bda\",\"name\":\"ForeNova\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/ForeNova-Original-Version-21-96x96.webp\",\"url\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/ForeNova-Original-Version-21-96x96.webp\",\"contentUrl\":\"https:\\\/\\\/www.forenova.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/ForeNova-Original-Version-21-96x96.webp\",\"caption\":\"ForeNova\"},\"sameAs\":[\"https:\\\/\\\/www.forenova.com\"],\"url\":\"https:\\\/\\\/www.forenova.com\\\/de\\\/author\\\/forenova\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse - Forenova","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/","og_locale":"de_DE","og_type":"article","og_title":"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse - Forenova","og_description":"In October 2024, the Global Threat Intelligence Group (GTIG) tracked an email phishing campaign targeting European governments and the military. GTIG tracked this phishing attack to a unit called UNC5837. UNC5837 is believed to be a suspected Russian-nexus espionage hacker outfit. Im Oktober 2024 verfolgte die Global Threat Intelligence Group (GTIG) eine E-Mail-Phishing-Kampagne, die sich [&hellip;]","og_url":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/","og_site_name":"Forenova","article_published_time":"2025-05-23T13:22:38+00:00","article_modified_time":"2025-08-21T06:43:19+00:00","og_image":[{"width":1366,"height":768,"url":"https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/Noodlophile-InfoStealer-\u526f\u672c.png","type":"image\/png"}],"author":"ForeNova","twitter_card":"summary_large_image","twitter_misc":{"Written by":"ForeNova","Est. reading time":"7 Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/#article","isPartOf":{"@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/"},"author":{"name":"ForeNova","@id":"https:\/\/www.forenova.com\/de\/#\/schema\/person\/853d5bf49545ee26b44d7b446df73bda"},"headline":"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse","datePublished":"2025-05-23T13:22:38+00:00","dateModified":"2025-08-21T06:43:19+00:00","mainEntityOfPage":{"@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/"},"wordCount":1390,"publisher":{"@id":"https:\/\/www.forenova.com\/de\/#organization"},"image":{"@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/#primaryimage"},"thumbnailUrl":"https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/Noodlophile-InfoStealer-\u526f\u672c.png","keywords":["Cybersecurity"],"articleSection":["Blog"],"inLanguage":"de-DE"},{"@type":"WebPage","@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/","url":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/","name":"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse - Forenova","isPartOf":{"@id":"https:\/\/www.forenova.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/#primaryimage"},"image":{"@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/#primaryimage"},"thumbnailUrl":"https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/Noodlophile-InfoStealer-\u526f\u672c.png","datePublished":"2025-05-23T13:22:38+00:00","dateModified":"2025-08-21T06:43:19+00:00","breadcrumb":{"@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/#breadcrumb"},"inLanguage":"de-DE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/"]}]},{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/#primaryimage","url":"https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/Noodlophile-InfoStealer-\u526f\u672c.png","contentUrl":"https:\/\/www.forenova.com\/wp-content\/uploads\/2025\/04\/Noodlophile-InfoStealer-\u526f\u672c.png","width":1366,"height":768,"caption":"Infostealer"},{"@type":"BreadcrumbList","@id":"https:\/\/www.forenova.com\/de\/blog\/missbrauch-des-windows-rdp-eine-sicherheitskritische-analyse\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.forenova.com\/de\/"},{"@type":"ListItem","position":2,"name":"Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse"}]},{"@type":"WebSite","@id":"https:\/\/www.forenova.com\/de\/#website","url":"https:\/\/www.forenova.com\/de\/","name":"Forenova","description":"Forenova","publisher":{"@id":"https:\/\/www.forenova.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.forenova.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de-DE"},{"@type":"Organization","@id":"https:\/\/www.forenova.com\/de\/#organization","name":"Forenova","url":"https:\/\/www.forenova.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.forenova.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/www.forenova.com\/wp-content\/uploads\/2026\/03\/cropped-ForeNova-Version-white-scaled-1.png","contentUrl":"https:\/\/www.forenova.com\/wp-content\/uploads\/2026\/03\/cropped-ForeNova-Version-white-scaled-1.png","width":2373,"height":586,"caption":"Forenova"},"image":{"@id":"https:\/\/www.forenova.com\/de\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.forenova.com\/de\/#\/schema\/person\/853d5bf49545ee26b44d7b446df73bda","name":"ForeNova","image":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.forenova.com\/wp-content\/uploads\/2024\/10\/ForeNova-Original-Version-21-96x96.webp","url":"https:\/\/www.forenova.com\/wp-content\/uploads\/2024\/10\/ForeNova-Original-Version-21-96x96.webp","contentUrl":"https:\/\/www.forenova.com\/wp-content\/uploads\/2024\/10\/ForeNova-Original-Version-21-96x96.webp","caption":"ForeNova"},"sameAs":["https:\/\/www.forenova.com"],"url":"https:\/\/www.forenova.com\/de\/author\/forenova\/"}]}},"_links":{"self":[{"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/posts\/10649","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/comments?post=10649"}],"version-history":[{"count":0,"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/posts\/10649\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/media\/10780"}],"wp:attachment":[{"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/media?parent=10649"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/categories?post=10649"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.forenova.com\/de\/wp-json\/wp\/v2\/tags?post=10649"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}