APT28 modernisiert Angriffe: 18.000 Router in 120 Ländern gehackt
13.06.2026 - 00:13:26 | boerse-global.de
Die russische Hackergruppe APT28 hat ihre Angriffsinfrastruktur mit gekaperten Heimroutern und Cloud-Diensten grundlegend modernisiert.
Sicherheitsforscher von Sekoia, Microsoft und Lumen Black Lotus Labs haben eine neue Welle von Angriffen dokumentiert. Die Gruppe, auch bekannt als Fancy Bear oder GRU-Einheit 26165, nutzt ein Netzwerk aus kompromittierten Routern für kleine Büros und Home-Office-Umgebungen, um gezielt NATO-Organisationen anzugreifen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Sicherheits-Ratgeber herunterladen
MooBot: Ein weltumspannendes Botnetz
Im Zentrum der Angriffe steht das MooBot-Botnetz, das seit April 2022 vor allem Ubiquiti EdgeRouter-Geräte infiltriert. Die Hacker nutzen dieses Netzwerk als Relais für gestohlene Net-NTLMv2-Hashes, hosten Phishing-Seiten auf legitimen IP-Adressen und führen Python-basierte Schadsoftware aus.
Auf seinem Höhepunkt im Dezember 2025 umfasste das Botnetz rund 18.000 IP-Adressen in 120 Ländern. Betroffen waren 200 Organisationen und 5.000 einzelne Geräte.
Eine FBI-Operation namens "Dying Ember" konnte 2024 zwar große Teile des Netzwerks zerschlagen. Doch mehr als 350 Server blieben weiterhin mit der Hacker-Infrastruktur verbunden – genug, um die Angriffsfähigkeiten aufrechtzuerhalten.
FrostArmada: Neue Angriffswelle 2026
In diesem Jahr startete die Gruppe die Kampagne FrostArmada. Sie zielt gezielt auf MikroTik- und TP-Link-Router ab – mittels DNS-Hijacking. Die Angreifer manipulieren den Datenverkehr direkt auf dem Router und führen sogenannte Adversary-in-the-Middle-Angriffe durch. Dabei stehlen sie OAuth-Tokens und verschaffen sich so unbefugten Zugriff auf Microsoft-365-Umgebungen.
Parallel dazu läuft die Operation Phantom Net Voxel. Sie bringt eine neue C++-Hintertür namens BeardShell zum Einsatz. Deren Besonderheit: Sie nutzt legitime Cloud-Speicher-APIs als Kommando- und Kontrollkanal. Der schädliche Traffic tarnt sich als normale Cloud-Anfrage – und umgeht so herkömmliche Sicherheitsmaßnahmen.
Diese psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker bei gezielten Angriffen gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und wie Sie Ihr Unternehmen wirksam gegen Phishing schützen. Anti-Phishing-Paket jetzt gratis herunterladen
Neue Werkzeuge und gezielte Exploits
Die Forscher entdeckten zudem LameHug, einen Datendieb mit integrierten KI-Fähigkeiten. Hinzu kommt Slimagent, ein Keylogger, der auf dem Code der älteren X-Agent-Malware basiert.
Ein besonderer Schwerpunkt liegt auf der Ausnutzung der Sicherheitslücke CVE-2023-23397 in Microsoft Outlook. Diese Zero-Click-Schwachstelle erfordert keinerlei Benutzerinteraktion. Ein einziger bösartiger E-Mail reicht aus, um Net-NTLMv2-Hashes an die Angreifer zu senden. Die gestohlenen Anmeldedaten nutzt APT28 dann für Relay-Angriffe, um Exchange-Konten zu übernehmen – besonders häufig gegen NATO-Ziele.
Neue Bedrohungslage für Unternehmen
Die Kombination aus kompromittierten Edge-Geräten und missbrauchten Cloud-Diensten macht APT28 extrem schwer verfolgbar. Sicherheitsexperten raten dringend dazu, ungepatchte SOHO-Router als potenziell kompromittiert zu betrachten. Unternehmen sollten zudem ungewöhnliche API-Zugriffe auf externe Cloud-Speicherdienste genau überwachen.
Die Angriffe zeigen: Die russischen Hacker haben ihre Taktik grundlegend verändert. Statt auf zentrale Server setzen sie auf ein dezentrales Netzwerk aus Alltagsgeräten – und machen sich die Vertrauenswürdigkeit großer Cloud-Anbieter zunutze.
