Das niederländische Verteidigungsministerium sagt, dass Russland hinter der seit September 2025 laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. In Deutschland hatte netzpolitik.org zuerst darüber berichtet, dass zahlreiche, vor allem investigative Journalist:innen von dem Angriff betroffen sind.

In der Folge warnten BSI und Verfassungsschutz vor den Attacken und nannten diese „wahrscheinlich staatlich gesteuert“. In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärischen als auch der zivilen Geheimdienste MIVD und AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. In dem Text werden allerdings keine Belege für diese Behauptung geliefert. Netzpolitik.org hat Hinweise, die die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Mehrere Indizien sprechen für Russland

Nach Recherchen von netzpolitik.org gibt es mehrere Indizien, die auf eine russische Urheberschaft deuten könnten. Ein Linguist, mit dem netzpolitik.org gesprochen hat, erklärte, dass der erste Phishing-Text, über den wir damals berichtet haben, auf eine Urheberschaft aus dem slawischen Sprachraum hinweisen könnte. So wurden im Text mehrere für Sprecher:innen dieser Sprachen typische Fehler beim Artikelgebrauch gemacht.

In eckigen Klammern haben wir markiert, wo die jeweiligen Artikel fehlten:

Dear User, this is [the] Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to [a] data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass [a] verification procedure, entering the verification code to [the] Signal Security Support Chatbot.“

Diese Fehler können ein Hinweis auf eine slawische Sprache wie das Russische sein. Das Zuschreiben von Urheberschaft ist jedoch schwierig, da der Angreifer auch mit absichtlich eingebauten Fehlern eine falsche Fährte legen könnte, damit zum Beispiel Russland verdächtigt wird.

Ähnliche Angriffe in Armenien, Belarus und Großbritannien

Ein weiteres Indiz für die Russland-These sind ähnliche Angriffe in anderen Ländern. So berichtete das Resident NGO Threat Lab im Oktober vergangenen Jahres von einem Angriff auf belarussische Oppositionelle und Journalist:innen im Ausland. Die Masche war hier textlich abgewandelt, der Angreifer trat aber auch unter dem Namen „Signal Support“ auf und schürte ebenso Angst, dass es einen Angriff auf den Account gegeben habe. Die Sicherheitsforscher vermuteten damals allerdings belarussische Angreifer hinter der Attacke.

Einen weiteren Angriff nach ähnlichem Muster gab es laut Cyberhub.am im Januar 2026 in Armenien, wo mindestens ein armenischer Journalist attackiert worden sein soll. Hier agierte wieder der angebliche „Signal Security Support Chatbot“ und warnte vor einem Angriff auf das Telefon des Opfers. Auch hier gingen die Sicherheitsexperten davon aus, dass der Angegriffene gezielt ausgewählt worden sei.

Im Dezember hatte auch der Guardian über Phishing-Attacken auf Mitglieder des britischen Parlaments berichtet. Unter Berufung auf das National Cyber Security Centre (NCSC) des britischen Geheimdienstes GCHQ hatte die dortige Parlamentsbehörde in einem Warnschreiben an die Parlamentarier:innen auf eine russische Urheberschaft verwiesen.

Die eindeutige Attribution ist bei Hackerangriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer kriegerischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen. Es bleiben statt tatsächlicher Beweise oft nur Anhaltspunkte und Indizien und Überlegungen dahingehend, wem ein erfolgreicher Angriff nutzen würde.

Als Redaktion haben wir uns deswegen bis heute mit Thesen zur Attribution des Angriffs zurückgehalten und werden dies auch weiter tun, da es sich hier nur um Indizien handelt.

Zahlreiche Journalist:innen im Visier bei Attacke über Signal-Messenger

So geht der Phishing-Angriff

Bei dem Phishing-Versuch, der seit September 2025 im Umlauf ist, verschicken die Angreifer eine Nachricht über den Messenger Signal, bei der sie sich als „Signal Support“ ausgeben und behaupten, dass es verdächtige Aktivitäten auf dem Handy sowie den Versuch gegeben habe, auf private Daten zuzugreifen. Deswegen müssten die Betroffenen den Verifikationsprozess von Signal erneut durchlaufen und den Verifikationscode dem vermeintlichen „Signal Security Support ChatBot“ übermitteln. In der Folge versuchen sie, auch die Signal-PIN zu ergattern. Gibt der Angegriffene beide Codes weiter, können die Angreifer den Account übernehmen und dann zukünftige Chats sowie Kontakte, Chatgruppen und Netzwerke auslesen.

Die Textnachrichten der Angreifer beim Vorgehen können sich dabei ändern. Mittlerweile sind Nachrichten des falschen „Signal Support“ im Umlauf, die behaupten, dass man den Verifikationscode und die PIN wegen einer Zwei-Faktor-Authentifizierung herausgeben solle. Die Sicherheit und Vertraulichkeit des Messengers Signal ist bei den Attacken nicht selbst betroffen, wenn die Angegriffenen den Versuch einfach „Blockieren und Melden“.

Hochrangige Ziele betroffen

Zusammen mit Netzwerk Recherche hat netzpolitik.org Informationen gesammelt, wer wann die Phishing-Attacke erhalten hat. Demnach sind in Deutschland deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser betroffen. Unter den Angegriffenen sind viele aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche.

Zudem sind netzpolitik.org Attacken auf Bundestagsabgeordnete und deren Büro-Mitarbeitende sowie auf prominente Vertreter:innen der Zivilgesellschaft bekannt. Laut Bundesamt für Verfassungsschutz sind zudem „hochrangige Ziele aus Politik, Militär und Diplomatie“ betroffen. Eine ähnliche Zielgruppe ist auch in den Niederlanden betroffen.

Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Die Niederlande geht davon aus, dass die russischen Hacker mit diesen Angriffen „wahrscheinlich Zugang zu sensiblen Informationen erhalten“ haben. Davon ist nach Informationen von netzpolitik.org auszugehen: In mindestens einem Fall hat der Angriff nach unseren Informationen in Deutschland geklappt, in mindestens einem weiteren Fall auch in einem anderen europäischen Land. Es ist davon auszugehen, dass die Dunkelziffer höher ist, da sich Betroffene dafür schämen könnten, Opfer des Angriffs geworden zu sein.

Wenn du Ziel dieses Angriffs geworden bist, Zugriff auf deinen Signal-Account auf diese Weise verloren hast oder weitergehende Informationen und Hinweise zu diesem Angriff hast, wende dich vertrauensvoll an uns für weitere Nachforschungen und Recherchen.