Russische Hacker nutzten unentdeckte Microsoft-Schwachstelle

APT28, eine russische Staatshacker-Gruppe, hat eine kritische Sicherheitslücke in Windows ausgenutzt, bevor ein Patch verfügbar war. Die Schwachstelle mit der Kennung CVE-2026-21513 ermöglichte die Umgehung zentraler Sicherheitskontrollen. Microsoft schloss das Loch bereits im Februar, doch die neuen Erkenntnisse zeigen, wie schnell staatliche Angreifer solche Zero-Day-Lücken für Spionageangriffe nutzen.

Angesichts hochspezialisierter Akteure wie APT28 stehen viele deutsche Unternehmen vor massiven Sicherheitsherausforderungen. Dieser Experten-Report enthüllt effektive Strategien, wie sich mittelständische Betriebe auch ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Effektive Schutzstrategien im Experten-Report entdecken

So funktionierte der Zero-Day-Angriff

Im Kern der Schwachstelle steckt ein Fehler in der MSHTML-Engine, die in Windows und Anwendungen wie Microsoft Office zum Rendern von Webinhalten genutzt wird. Durch unzureichende Überprüfung von URLs konnten Angreifer die Sicherheitsbarrieren des Browsers durchbrechen.

Die Hacker von APT28 – auch als Fancy Bear bekannt – verpackten den Exploit in manipulierten Windows-Verknüpfungen (.LNK-Dateien). Diese enthielten einen bösartigen HTML-Code. Beim Öffnen der Datei wurde die Schwachstelle ausgelöst. Der Clou: Die Attacke umging gezielt die „Mark of the Web“-Sicherheitswarnung, die Nutzer normalerweise vor Dateien aus dem Internet warnt. So konnten die Angreifer unbemerkt beliebigen Code ausführen.

Verbindung zu bekannter russischer Infrastruktur

Die Zuordnung zu APT28 gilt als sicher. Der beim Angriff verwendete Exploit kommunizierte mit der Kommandozentrale wellnesscaremed[.]com. Diese Domain ist der russischen Gruppe aus früheren Kampagnen bereits bekannt. Erste Spuren des Angriffs tauchten bereits am 30. Januar 2026 auf – Wochen, bevor Microsoft den Fehler im Februar-Patch behob.

Sicherheitsexperten warnen, dass die gefundene Methode nur eine von vielen sein könnte. Da die Schwachstelle im weit verbreiteten MSHTML-Modul steckt, wären auch Angriffe via Phishing-E-Mails oder infizierte Office-Dokumente denkbar. „Die Vielseitigkeit macht diese Lücke besonders gefährlich“, so ein Analyst.

APT28: Schnell, präzise und gut ausgerüstet

Das Vorgehen passt zum bekannten Muster der Gruppe, die dem russischen Militärgeheimdienst GRU zugerechnet wird. APT28 hat sich darauf spezialisiert, neue Sicherheitslücken extrem schnell für Angriffe zu nutzen. Erst Anfang des Jahres nutzte die Gruppe eine andere Microsoft-Schwachstelle innerhalb von 72 Stunden nach Veröffentlichung des Patches aus.

Da staatliche Angreifer Sicherheitslücken oft schneller ausnutzen, als Patches installiert werden können, ist eine proaktive Stärkung der IT-Infrastruktur unerlässlich. Dieser kostenlose Leitfaden zeigt Geschäftsführern und IT-Verantwortlichen, wie sie ihr Unternehmen mit einfachen Maßnahmen vor kostspieligen Cyberangriffen schützen. Kostenlosen Leitfaden zur IT-Sicherheit anfordern

Die Fähigkeit, Patches zu reversen oder eigene Zero-Day-Lücken zu finden, unterstreicht die hohe technische Expertise und Ressourcen der Gruppe. Für Verteidiger bleibt oft nur ein schmales Zeitfenster, um Updates einzuspielen. Im Fall von CVE-2026-21513 gab es dieses Fenster nicht – die Angriffe liefen, bevor die Welt von der Lücke wusste.

Was bedeutet das für Unternehmen und Behörden?

Der Vorfall ist eine weitere Warnung vor der anhaltenden Bedrohung durch staatliche Hacker. Tief in Windows verankerte Komponenten wie MSHTML bleiben ein lohnendes Ziel, um moderne Sicherheitsarchitekturen zu umgehen.

Für IT-Verantwortliche gibt es eine klare Handlungsaufforderung: Der Februar-Patch von Microsoft muss sofort installiert werden. Besonders kritisch ist die Phase zwischen Patch-Verfügbarkeit und flächendeckender Installation – genau hier schlagen Gruppen wie APT28 zu. Zusätzlich zum Patch-Management sind Aufklärung der Mitarbeiter und moderne Endpoint-Detection-Lösungen entscheidend, um verdächtige Dateitypen und Verhaltensmuster zu erkennen.

Die Entdeckung der Lücke gelang durch die Zusammenarbeit von Microsofts eigenen Threat-Intelligence-Teams und Google. Sie zeigt, wie wichtig solche Kooperationen im Kampf gegen hochsophistizierte staatliche Angreifer sind.