Zugriff auf Gmail-Konten von Unternehmen: APT-Gruppe ToddyCat nutzt neues Tool

30. Juni 2026

Mit ‚Umbrij‘ können sich die Angreifer über die API des Dienstes unbefugten Zugriff auf Google-Konten, darunter Mails, Cloud-Speicher und Kontakte, verschaffen

Kaspersky hat ein bisher unbekanntes Tool der APT (Advanced Persistent Group)-Gruppe ToddyCat identifiziert [1]. Mit ‚Umbrij‘ können sich die Angreifer über die API des Dienstes unbefugten Zugriff auf Google-Konten, darunter Mails, Cloud-Speicher und Kontakte, verschaffen. Die Malware wurde für Angriffe auf Windows-Nutzer entwickelt, die Technik kann jedoch potenziell auch für andere Systeme eingesetzt werden.

Die Experten von Kaspersky haben ein bislang unbekanntes Tool der APT-Gruppe ToddyCat identifiziert - Umbrij. Dieses kann Verbindungen über einen Debugging-Port herstellen und seine Aktivitäten als legitimen Prozess tarnen, so dass die Angreifer den Zugriff auf kompromittierte Umgebungen unentdeckt aufrechterhalten können. Die neu identifizierte Technik, Shadow Token via Remote Debug (STRD), betrifft Chromium-basierte Browser. Zwar wurde die Malware für Angriffe auf Windows-Nutzer entwickelt, die zugrunde liegende Technik könnte jedoch auch potenziell auf anderen Systemen eingesetzt werden.

Der Angriff nutzt eine bestehende, authentifizierte Gmail-Sitzung aus, die im Browser aktiv bleibt, solange keine Abmeldung vom Gmail-Konto erfolgt. Angreifer können diese Sitzung missbrauchen, indem sie eine Browserinstanz starten, über einen Debugging-Port die Kontrolle erlangen und Anfragen an Gmail senden. Auf diese Weise erhalten sie innerhalb der bestehenden Sitzung Zugriff auf weitere Google-Ressourcen, ohne dass Anmeldedaten erneut eingegeben werden müssen.

Umbrij kann weitreichende Berechtigungen anfordern, darunter den vollständigen Zugriff auf E-Mails, Cloud-Speicher und Kontakte. Um den Autorisierungsprozess abzuschließen, interagiert Umbrij automatisch mit der Zustimmungsabfrage und bestätigt den angeforderten Zugriff durch einen Klick auf die Schaltfläche „Zulassen“. Dadurch erhält Umbrij schließlich den Authentifizierungscode, der für den Zugriff auf die Zielressourcen erforderlich ist.

„Wir beobachten die Aktivitäten von ToddyCat bereits seit mehreren Jahren und sehen, wie die Gruppe ihre Tools und Angriffstechniken kontinuierlich weiterentwickelt“, so Andrey Gunkin, Senior Malware Analyst bei Kaspersky. „Umbrij verdeutlicht die anhaltenden Bemühungen des APT-Akteurs ToddyCat, seine operativen Fähigkeiten zu verbessern. Bei der Risikobewertung sollten Unternehmen berücksichtigen, dass das Starten eines Browsers mit aktiviertem Debugging-Port für die meisten Nutzer außerhalb der Webentwicklung unüblich ist. Entsprechend sollten Unternehmen Entwicklertools in Chromium-basierten Browsern für Nutzer deaktivieren, die diese nicht für ihre tägliche Arbeit benötigen. Dadurch lässt sich das Risiko minimieren und der Zugriff auf potenziell kompromittierte Tokens unterbinden.“

Kaspersky-Empfehlungen zum Schutz vor Umbrij

Entwicklertools in Chromium-basierten Browsern für alle Nutzer deaktivieren, die diese nicht für ihre tägliche Arbeit benötigen.
Eine umfassende Sicherheitslösung, beispielsweise aus der Kaspersky-Next-Produktlinie [2], einsetzen, die Echtzeitschutz, Transparenz über Bedrohungen sowie Untersuchungs- und Reaktionsfunktionen aus den Bereichen EPP, EDR und XDR bietet.
Managed-Security-Services wie Kaspersky Managed Detection and Response [3] und/oder Kaspersky Incident Response [4] helfen dabei, zusätzliche externe Expertise zu erhalten ohne weiteres Personal einzustellen. So können Unternehmen vor Cyberangriffen adäquat geschützt und Sicherheitsvorfälle entsprechend untersucht werden.
Dem SOC-Team Zugang zu den neuesten Bedrohungsdaten gewähren. Das Kaspersky Threat Intelligence Portal [5] bietet Cyberangriffsdaten und Erkenntnisse, die von Kaspersky in fast 30 Jahren gesammelt wurden.

Weitere Informationen zum neuen Tool Umbrij von ToddyCat sind verfügbar unter https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/

[1] https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/

[2] https://www.kaspersky.de/next

[3] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

[4] https://www.kaspersky.de/enterprise-security/incident-response

[5] https://www.kaspersky.de/enterprise-security/threat-intelligence

Nützliche Links:

Kaspersky-Analyse zu Umbrij: https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/
Kaspersky Next: https://www.kaspersky.de/next
Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
Kaspersky Incident Response: https://www.kaspersky.de/enterprise-security/incident-response
Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Kaspersky revolutioniert die Branche mit seinem Sicherheitsansatz auf Basis des Prinzips der Cyberimmunität und schützt Verbraucher, Unternehmen, kritische Infrastrukturen und Behörden vor Cyberbedrohungen, mit bis heute über einer Milliarde geschützter Geräte.

Kaspersky sorgt für Cybersecurity True to Business und konzentriert sich auf die Bereitstellung klarer Ergebnisse, den Schutz des Umsatzes, Reduzierung der Arbeitsbelastung und Vermeidung von Ausfallzeiten. Kasperskys umfassendes Know-how im Bereich Threat Intelligence und Sicherheit fließt ständig in innovative Lösungen und Dienste für Unternehmen jeder Größe ein, von kleinen bis hin zu Großunternehmen, die bewährte KI-gesteuerte Schutztechnologien mit einfacher Verwaltung und fachkundigem Support kombinieren.

Kaspersky wurde in unabhängigen Tests ausgezeichnet und wird von Millionen von Menschen weltweit sowie fast 200.000 Unternehmen als vertrauenswürdig eingestuft. Kaspersky hilft dabei, Bedrohungen früher zu erkennen, schneller zu reagieren und mit größerer Sicherheit und Freiheit zu arbeiten, und schützt so, was für unsere Kunden am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Zugriff auf Gmail-Konten von Unternehmen: APT-Gruppe ToddyCat nutzt neues Tool

Kaspersky-Empfehlungen zum Schutz vor Umbrij

Nützliche Links:

Zugriff auf Gmail-Konten von Unternehmen: APT-Gruppe ToddyCat nutzt neues Tool

Über Kaspersky

Verwandter Artikel Pressemitteilungen

56 Prozent von Online-Betrug betroffen

Gefälschte KI-Tools: Angriffe auf KMU haben sich verfünffacht

Kaspersky-Lösungen für Unternehmen und Verbraucher mit vier Awards von SE Labs ausgezeichnet

Nachhaltigkeitsreport 2024-2025 zeigt: Kaspersky setzt sich für eine sicherere Cyberwelt für Menschen, Unternehmen und die Gesellschaft ein

WhatsApp als Einfallstor: Kaspersky warnt vor mehrsprachiger Malware-Kampagne

Kaspersky erweitert Threat-Hunting-Training für SOC-Teams

Kaspersky beim BSI gemäß NIS-2-Richtlinie EU-weit registriert

Kaspersky Container Security um neue Funktionen für moderne DevOps-Umgebungen erweitert

Romance Scam: In Deutschland grassiert Liebesbetrug über Messenger

Digitale Gewalt nimmt zu: Fast jeder Zweite erlebt Übergriffe