Die spanische Top-Level-Domain .es erlebt einen beispiellosen Missbrauch durch Cyberkriminelle. Sicherheitsforscher von Cofense dokumentierten einen dramatischen 19-fachen Anstieg bösartiger Kampagnen, die diese Domainendung ausnutzen. Damit belegt die .es-Domain den dritten Platz in der Beliebtheitsskala von Cyberkriminellen, nur übertroffen von den etablierten Favoriten .com und .ru.
Bedrohungslandschaft der .es-Domainzone im Detail
Die ursprünglich für spanische Websites und hispanophone Zielgruppen konzipierte Domainzone entwickelte sich seit Jahresbeginn 2025 zu einem bevorzugten Instrument für Cyberangriffe. Aktuelle Untersuchungen identifizierten bis Mai 447 kompromittierte Hauptdomains und 1.373 Subdomains mit schädlichem Inhalt.
Die Analyseergebnisse offenbaren eine beunruhigende Spezialisierung: 99 Prozent der entdeckten Malware-Seiten dienen dem Diebstahl von Anmeldedaten durch Phishing-Techniken. Der verbleibende Anteil konzentriert sich auf die Verbreitung von Remote Access Trojans (RATs), darunter gefährliche Varianten wie ConnectWise RAT, Dark Crystal und XWorm.
Angriffsmethoden und Social Engineering-Taktiken
Cyberkriminelle setzen auf ausgeklügelte Social Engineering-Strategien zur Malware-Verbreitung. In 95 Prozent der dokumentierten Fälle tarnen sich Angreifer als Microsoft-Mitarbeiter und erstellen täuschend echte Nachrichten, die offizielle Unternehmenskommunikation imitieren.
Die Angriffskampagnen zeichnen sich durch folgende Charakteristika aus:
• Hochwertige Fälschungen mit detailliert ausgearbeiteten Inhalten
• Arbeitsplatz-relevante Themen wie Personalangelegenheiten und Dokumentenanfragen
• Zufällige Domainnamen-Generierung zur Umgehung von Erkennungssystemen
• Perfekte Nachahmung von Microsoft-Anmeldeseiten für Credential-Harvesting
Infrastruktur und technische Umsetzung
Eine bemerkenswerte Entdeckung der Untersuchung: 99 Prozent der bösartigen .es-Domains nutzen Cloudflare-Dienste für Hosting und Schutzmaßnahmen. Die meisten Phishing-Seiten integrieren Cloudflare Turnstile CAPTCHA-Systeme, was ihnen zusätzliche Legitimität verleiht.
Sicherheitsexperten vermuten, dass vereinfachte Deployment-Prozesse über Kommandozeilen-Tools und die pages.dev-Plattform die Attraktivität des Services für Kriminelle steigerten. Die exakten Gründe für den massiven Wechsel zu .es-Domains bleiben jedoch Gegenstand fortlaufender Forschung.
Analyse der Bedrohungsakteure
Cofense-Analysten betonen, dass die Vielfalt genutzter Marken und Taktiken auf die Beteiligung zahlreicher unabhängiger Akteure hinweist, anstatt einer einzelnen spezialisierten Gruppe. Diese Entwicklung signalisiert, dass .es-Domain-Missbrauch zu einer weit verbreiteten Taktik in der Cyberkriminalität-Szene geworden ist.
Während .com- und .ru-Domains konstant hohe Popularität bei Cyberkriminellen genießen, unterliegen andere Domainzonen zyklischen Schwankungen. Diese können sich quartalsweise ändern, abhängig von verschiedenen Faktoren wie Verfügbarkeit, Kosten und Erkennungsraten.
Die aktuelle Bedrohungslage erfordert verstärkte Aufmerksamkeit von IT-Sicherheitsverantwortlichen und Endnutzern. Unternehmen sollten ihre E-Mail-Überwachung intensivieren, Filtersysteme aktualisieren und Mitarbeiterschulungen zur Erkennung von Phishing-Attacken durchführen, insbesondere solcher, die .es-Domains verwenden und Microsoft-Services nachahmen. Nur durch proaktive Sicherheitsmaßnahmen und kontinuierliche Wachsamkeit lässt sich dieser wachsenden Bedrohung effektiv begegnen.
