Internationales Phishing-Netzwerk "Darcula" aufgedeckt: 884.000 Opfer und ein perfider Plan
- Jenn von Jemke
- vor 3 Tagen
- 3 Min. Lesezeit

Altbekannt und doch brandgefährlich
Die Masche ist nicht neu – aber noch immer erschreckend wirksam: Eine vermeintliche SMS von DHL, der Telekom oder Hermes kündigt ein Paket an oder fordert zur Zahlung eines kleinen Betrags auf. Ein Klick auf den enthaltenen Link führt zu einer täuschend echten Website, auf der sensible Daten wie Kreditkarten-informationen eingegeben werden sollen. Wer darauf hereinfällt, wird Opfer eines groß angelegten Betrugs.
Nun hat eine internationale Recherche die Strukturen hinter einem solchen Netzwerk aufgedeckt. Die Dimensionen sind gewaltig – und der technische Aufwand dahinter professionell organisiert.
Das Netzwerk: Hochautomatisiert und global vernetzt
Ein Team aus Journalist:innen des Bayerischen Rundfunks (BR), des norwegischen Senders NRK und der französischen Zeitung Le Monde hat gemeinsam mit dem norwegischen Security-Unternehmen Mnemonic ein Phishing-Netzwerk enttarnt, das unter dem Namen "Darcula" bekannt wurde. Was sie aufdeckten, liest sich wie ein Cyberkrimi:
Ein arbeitsteilig organisiertes System, das weltweit aktiv ist, mit professionellen Tools, Geräte-Farmen und zehntausenden täglich versendeten Betr
Der Einstieg: Eine SMS und ein Trick
Ausgelöst wurde die Recherche durch eine gefälschte Nachricht im Namen der norwegischen Post, die bei Mnemonic einging. Der enthaltene Link war clever geschützt: Er konnte nur über Smartphone-Browser und mobile Netze geöffnet werden – ein gängiger Trick, um Sicherheitsanalysen zu umgehen.
Die IT-Forscher von Mnemonic konnten die Schutzmechanismen jedoch überwinden und erhielten in der Folge monatelangen Zugriff auf Telegram-Gruppen, interne Chats und zentrale Tools der Cyberkriminellen.
Magic Cat: Die KI im Dienst der Täuschung
Herzstück des Netzwerks ist ein Tool namens Magic Cat – eine Art Baukasten für Phishing-Seiten, der als Software-as-a-Service angeboten wird. Für ein paar hundert Dollar pro Woche können Betrüger damit täuschend echte Webseiten bekannter Unternehmen erzeugen. Die Funktionsweise ist perfide effizient:
Magic Cat enthält über 300 Vorlagen bekannter Seiten (z. B. DHL, Telekom, Amazon, Hermes, GEZ).
Betrugsversuche laufen automatisiert über Geräte-Farmen.
Der Versand erfolgt über SMS, iMessage oder RCS.
Die technische Qualität ist hoch – viele Seiten sind so echt, dass selbst aufmerksame Nutzer:innen sie kaum entlarven können.

Die Bilanz: 13 Millionen Klicks, 884.000 Opfer
Zwischen Ende 2023 und Mitte 2024 wurden über 13 Millionen Phishing-Links angeklickt, so die Auswertung der Recherche. Rund 884.000 Menschen gaben dabei tatsächlich ihre Zahlungsdaten ein – eine Erfolgsquote von 1:14.
Insgesamt sollen rund 600 Personen in 130 Ländern an der Infrastruktur beteiligt sein. Der mutmaßliche Entwickler von Magic Cat, ein 24-jähriger Chinese mit dem Online-Alias "Darcula", betreibt das Netzwerk offenbar aus dem Hintergrund – und verdient an der Vermietung seiner Software.
Ermittlungen? Fehlanzeige.
Das Bundeskriminalamt (BKA) kennt das Netzwerk seit Oktober 2024 – konkrete Ermittlungen gibt es bisher jedoch nicht. Der Grund: Internationale Kooperationen im Cybercrime-Bereich sind oft kompliziert, und es fehlt häufig an rechtlichen Grundlagen für schnelle, länderübergreifende Zugriffe. DHL, als eines der Hauptziele im deutschsprachigen Raum, äußerte sich auf Anfrage nicht zur Bedrohungslage.
Fazit: Moderne Phishing-Netzwerke sind professionelle Unternehmen
Was früher als dilettantischer Betrugsversuch begann, ist heute eine hochautomatisierte, global agierende Schattenindustrie. Die Aufdeckung von „Darcula“ zeigt, wie effektiv und gefährlich solche Netzwerke mittlerweile operieren.
Gerade weil die Methoden so raffiniert sind, braucht es mehr denn je:
Aufklärung,
technische Schutzmechanismen,
und eine engere internationale Zusammenarbeit, um Täter wirklich zu stoppen.