APT28: Russische Hacker starten neue Cyber-Offensive gegen Europa

Russlands berüchtigte Hackergruppe APT28 hat ihre Cyber-Spionageaktivitäten deutlich ausgeweitet. Neue Berichte enthüllen hochkomplexe Angriffe auf ukrainisches Militär und europäische Diplomaten.

Seit Anfang März 2026 decken Sicherheitsforscher eine Serie ausgeklügelter Spear-Phishing-Kampagnen auf. Verantwortlich ist die russische, mutmaßlich vom Militärgeheimdienst GRU gesteuerte Gruppe APT28, auch als Fancy Bear bekannt. Die Angriffe zielen auf ukrainische Militärangehörige und diplomatische Einrichtungen in West- und Mitteleuropa. Analysen der Sicherheitsfirma ESET zeigen: Die Gruppe setzt wieder fortschrittliche, maßgeschneiderte Schadsoftware ein – eine strategische Eskalation nach Jahren simpler Phishing-Angriffe.

Die aktuellen Berichte über hochkomplexe Spear-Phishing-Kampagnen zeigen, wie gefährlich gezielte Manipulationen für Unternehmen sein können. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie eine erfolgreiche Hacker-Abwehr aufbauen und Ihre Organisation vor Phishing-Attacken schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Comeback der Spitzen-Malware: BeardShell und Covenant

APT28 kehrt zu ihren alten Stärken zurück. Statt einfacher Phishing-Tools entwickelt die Gruppe nun wieder hochkomplexe, eigene Schadprogramme. Im Zentrum steht ein Doppel-Implantat aus den Tools BeardShell und Covenant.

Die Infektion beginnt mit präparierten Microsoft Office-Dokumenten in gezielten E-Mails. Nach erfolgreichem Zugriff installieren die Angreifer BeardShell, eine ausgefeilte Hintertür, zusammen mit einer modifizierten Version des Open-Source-Frameworks Covenant. Diese Doppelstrategie bietet den Hackern operative Redundanz.

Die Besonderheit: Die Werkzeuge kommunizieren über legitime Cloud-Speicherdienste wie Koofr und pCloud. So bleibt der Zugriff auch dann erhalten, wenn ein Kanal entdeckt und blockiert wird. Die Malware kann Befehle ausführen, Opfer überwachen und sich innerhalb kompromittierter Netzwerke von Militär und Regierung seitwärts bewegen. Diese Kampagne läuft laut ESET bereits seit April 2024.

Operation MacroMaze: Tarnung durch Alltagswerkzeuge

Parallel dazu läuft die Operation MacroMaze. Diese Kampagne zielt auf diplomatische und Unternehmensnetzwerke in Europa. Die Angreifer setzen auf Tarnung statt auf komplexe Technik.

Hochgradig personalisierte Phishing-Mails mit diplomatischen Themen ködern die Opfer. Angehängte Dokumente enthalten schädliche Makros, die Standard-Sicherheitseinstellungen umgehen. Der Trick: Beim Öffnen des Dokuments werden sofort Anfragen an Webhook-Dienste gesendet – ein verstecktes Signal für die Angreifer, dass die Falle zugeschnappt hat.

Statt einer großen ausführbaren Datei baut sich die Schadsoftware aus vielen kleinen, unauffälligen Komponenten zusammen. Diese Methode hinterlässt kaum forensische Spuren. Die Nutzung weit verbreiteter Webdienste für Datenabfluss und Steuerung tarnt den bösartigen Datenverkehr im normalen Netzwerkverkehr.

Lokale Köder: Der „MeowMeow“-Angriff auf die Ukraine

Eine dritte, separate Kampagne zeigt, wie tief APT28 in regionale Gegebenheiten eindringt. Hier nutzen die Hacker E-Mail-Adressen des ukrainischen Anbieters ukr.net, um Schadsoftware zu verbreiten.

Die täuschend echten Mails enthalten Links zu Archiven, die als offizielle Grenzübergangsgenehmigungen getarnt sind. Beim Öffnen wird der Loader BadPaw installiert, der wiederum die Hintertür MeowMeow nachlädt. Diese kann Dateien auslesen, verändern, löschen und Systeme auskundschaften. Die Nutzung lokaler Infrastruktur und thematicsh perfekt angepasster Köder unterstreicht das ausgeprägte Social Engineering der Gruppe.

Während staatliche Akteure immer raffiniertere Methoden entwickeln, sind laut Experten 73% der deutschen Unternehmen nicht ausreichend auf Cyberangriffe vorbereitet. Dieser kostenlose Leitfaden unterstützt Geschäftsführer dabei, die IT-Sicherheit proaktiv zu stärken und neue gesetzliche Anforderungen umzusetzen. Kostenloses E-Book zu Cyber-Security-Trends sichern

Strategische Evolution eines alten Gegners

Die gleichzeitigen Kampagnen markieren eine strategische Weiterentwicklung von APT28. Die Gruppe, die seit über 20 Jahren aktiv ist, kombiniert nun wieder hochentwickelte Eigenentwicklungen mit taktisch cleverer Nutzung simpler Werkzeuge.

Die massive Nutzung von Cloud-APIs für die Kommunikation stellt eine große Herausforderung dar. Indem der bösartige Datenverkehr über Dienste wie Filen, Koofr und pCloud geleitet wird, verschmilzt er mit normalem Unternehmensverkehr. Herkömmliche Netzwerküberwachung stößt hier an Grenzen.

Für staatlich geförderte Akteure sind diese Operationen äußerst effizient: Günstige Phishing-Methoden werden mit ausgeklügelten Mechanismen für dauerhaften Zugriff kombiniert, um langfristig Geheimdienstinformationen zu sammeln.

Was bedeutet das für deutsche Organisationen?

Bei anhaltenden geopolitischen Spannungen wird APT28 seine Methoden weiter verfeinern. Die Fähigkeit, legale Cloud-Infrastruktur zu missbrauchen, deutet auf noch besser getarnte künftige Angriffe hin.

Organisationen in den Bereichen Verteidigung, Diplomatie und kritische Infrastruktur müssen ihre E-Mail-Sicherheit überprüfen und die Überwachung von Cloud-Dienst-Logs verstärken. Experten raten dringend, über signaturbasierte Erkennung hinauszugehen. Verhaltensanalyse und Zero-Trust-Architekturen sind notwendig, um anomale Aktivitäten zu identifizieren. Die Entwicklung von APT28 ist eine klare Warnung: Proaktive, mehrschichtige Verteidigungsstrategien sind der einzige Weg, um sich gegen langfristige Cyber-Spionage zu wappnen.