Die Automatisierungsplattform n8n, bei Entwicklern und Unternehmen beliebt zur Orchestrierung von KI-Diensten und zur Integration von Webanwendungen, gerät in den Fokus professioneller Phishing-Gruppen. Forschende von Cisco Talos berichten, dass Angreifer die Infrastruktur von n8n gezielt nutzen, um schädliche E-Mails zu versenden, Malware nachzuladen und unbemerkt Informationen über Endgeraete zu sammeln.
Was ist n8n – und warum ist die Low-Code-Plattform attraktiv fuer Angreifer?
n8n ist eine Low-Code-/No-Code-Automatisierungsplattform, mit der sich Webdienste, APIs und KI-Modelle mit wenig Programmieraufwand zu Workflows verbinden lassen. Viele Organisationen nutzen den gemanagten Cloud-Dienst unter Subdomains vom Typ <account-name>.app.n8n.cloud, um Automatisierungen ohne eigene Infrastruktur zu betreiben.
Besonders interessant fuer Cyberkriminelle sind die Webhooks von n8n. Ein Webhook ist im Kern ein „umgekehrtes API“: Ein externer Dienst sendet eine HTTP-Anfrage an eine spezielle URL und loest damit einen Workflow aus. Der Workflow antwortet direkt mit einem HTTP-Response – haeufig in Form von HTML-Inhalten. Wird ein solcher Link in einer E-Mail geoefnet, behandelt der Browser der Zielperson die Antwort wie eine gewoehnliche Webseite.
Missbrauch von n8n-Webhooks in Phishing-Kampagnen
Laut Cisco Talos werden oeffentlich erreichbare Webhook-URLs unter *.app.n8n.cloud mindestens seit Oktober 2025 systematisch in Phishing-Kampagnen eingebunden. Der Vorteil fuer Angreifer: Der gesamte Traffic laeuft ueber eine vermeintlich vertrauenswuerdige SaaS-Infrastruktur. Viele E-Mail-Sicherheitsloesungen bewerten solche Domains positiv, wodurch Filter fuer Spam und bösartige Links leichter umgangen werden koennen.
Die Forschenden verzeichnen einen deutlichen Anstieg: Das Volumen von E-Mails mit n8n-Webhook-Links lag im Maerz 2026 rund 686 % hoeher als im Januar 2025. Dies deutet darauf hin, dass sich die Technik schnell in der Phishing-Oekonomie etabliert hat.
Getarnte Malware-Downloads ueber vermeintliche Freigabe-Dokumente
In einer analysierten Kampagne gaben sich die Angreifer als Dienst fuer gemeinsame Dokumentennutzung aus. Die E-Mail enthielt eine n8n-Webhook-URL, die nach dem Anklicken eine Seite mit CAPTCHA-Abfrage anzeigte. Sobald die Pruefung abgeschlossen war, aktivierte sich im Hintergrund JavaScript-Code, der eine Malware-Datei von einem externen Server herunterlud.
Da dieses gesamte Szenario in einem HTML-Dokument ablaeuft, das direkt ueber die Domain app.n8n.cloud ausgeliefert wird, wirkt der Ablauf fuer Browser und viele Mail-Gateways wie legitimer SaaS-Traffic. Die eigentliche Schadsoftware bestand haeufig aus EXE-Dateien oder MSI-Installern, die modifizierte Versionen legitimer RMM-Tools (Remote Monitoring and Management) wie Datto oder ITarian Endpoint Management installierten.
Solche RMM-Loesungen dienen Angreifern anschliessend als legitim wirkender Kanal fuer dauerhaften Fernzugriff, fuer Privilegienausweitung und fuer die Kommunikation mit Command-and-Control-Servern. Aehnliche RMM-Missbraeuche wurden in den vergangenen Jahren bereits in mehreren Incident-Response-Faellen beobachtet und gelten laut einschlaegigen Berichten (z.B. Verizon DBIR, ENISA Threat Landscape) als wachsendes Risiko.
Tracking-Pixel und Device Fingerprinting ueber n8n
Ein weiterer Missbrauchsfall ist der nicht sofort erkennbare Informationsabfluss. Hier binden Angreifer einen unsichtbaren Tracking-Pixel ein – ein 1‑Pixel-Bild, das ueber eine n8n-Webhook-URL ausgeliefert wird. Wird die E-Mail geoeffnet, erfolgt automatisch ein HTTP-GET-Request an diesen Webhook.
Im Rahmen dieser Anfrage koennen Parameter wie die E-Mail-Adresse, der verwendete Mail-Client oder Teile der Systemkonfiguration uebermittelt werden. Auf Basis dieses Device Fingerprinting segmentieren die Angreifer ihre Listen, identifizieren aktive und besonders interessante Ziele und planen nachgelagerte, gezielte Angriffe (etwa Business-E-Mail-Compromise oder Ransomware).
Risiken von Low-Code-Plattformen und konkrete Sicherheitsmassnahmen
Die beobachteten Szenarien zeigen eine grundlegende Entwicklung: Low-Code- und SaaS-Plattformen, die eigentlich Produktivitaet und Integrationen erleichtern sollen, werden zunehmend als Infrastruktur-as-a-Service fuer Cybercrime missbraucht. Die Kombination aus einfacher Automatisierung, direkter Anbindung an E-Mail- und Webdienste und dem „Bonus“ einer guten Domainreputation macht solche Dienste attraktiv fuer verdeckte Phishing- und Malware-Kampagnen.
Organisationen, die Cloud- und Automatisierungsloesungen breit einsetzen, sollten daher ihre Sicherheitsarchitektur anpassen:
1. Erweitertes URL- und Domain-Scoring: Mail-Gateways und Web-Proxy-Loesungen sollten auch legitime SaaS-Domains wie app.n8n.cloud in die Risikoanalyse einbeziehen. Reine Reputationschecks reichen nicht mehr aus; erforderlich sind inhalts- und kontextbasierte Analysen.
2. Sandbox-Analyse von HTML-Inhalten: Verdächtige Links und HTML-Anhaenge sollten in isolierten Umgebungen ausgefuehrt werden, um dynamisches Verhalten wie CAPTCHA-Tarnungen, Nachlademechanismen und RMM-Installationen zu identifizieren.
3. Blockieren externer Bilder und Tracking-Pixel: In der Standardeinstellung sollten E-Mail-Clients in Unternehmen keine externen Bilder automatisch laden. Anwender sollten informiert werden, warum das Blockieren solcher Inhalte ein wirksamer Schutz vor Tracking und Fingerprinting ist.
4. Endpoint-Monitoring mit Fokus auf RMM-Werkzeuge: EDR-/XDR-Loesungen sollten die Installation und Nutzung von Remote-Management-Tools besonders ueberwachen, etwa durch Allowlists fuer zugelassene Produkte und Alarme bei ungewoehnlichen Verbindungsaufbauten.
5. Kontinuierliche Security-Awareness-Schulungen: Mitarbeitende muessen lernen, dass auch E-Mails mit Links zu bekannten und scheinbar vertrauenswuerdigen Cloud-Diensten riskant sein koennen. Realistische Phishing-Simulationen, die SaaS- und Low-Code-Plattformen einbeziehen, erhoehen die Widerstandsfaehigkeit nachweislich.
Da Low-Code- und KI-Plattformen in immer mehr Geschaeftsprozesse vordringen, wird deren sichere Nutzung zu einer Kernaufgabe der IT-Sicherheit. Unternehmen sollten ihre Vertrauensmodelle fuer Cloud-Dienste ueberpruefen, Richtlinien fuer den Einsatz von Automatisierungsplattformen definieren und technische Kontrollen implementieren, die von vornherein davon ausgehen, dass jeder externe Dienst potenziell missbraucht werden kann. Wer diese Annahme in seine Sicherheitsarchitektur integriert, reduziert deutlich das Risiko, dass n8n & Co. unbemerkt zum Einfallstor fuer Phishing, Malware und verdecktes Tracking werden.
