Der russische Militärgeheimdienst GRU greift mit seiner Hackereinheit APT28 gezielt veraltete SOHO-Router an, um den Datenverkehr heimlich umzuleiten und Zugangsdaten zu stehlen. Das Bundesamt für Verfassungsschutz (BfV) hat gemeinsam mit dem BND, dem FBI und mehr als einem Dutzend weiterer westlicher Nachrichtendienste einen gemeinsamen Warnhinweis veröffentlicht.

Was ist passiert?

Seit mindestens 2024 betreibt APT28 – auch bekannt unter den Namen Fancy Bear und Forest Blizzard – eine großangelegte Spionagekampagne gegen anfällige Internetrouter in Privathaushalten und kleinen Büros (SOHO-Router). Im Fokus stehen vor allem Geräte des Herstellers TP-Link, daneben auch MikroTik-Geräte.

Die Angreifer nutzen dabei die Sicherheitslücke CVE-2023-50224 (CVSS-Score: 6.5) aus. Diese Schwachstelle erlaubt es einem nicht authentifizierten Angreifer, über speziell präparierte HTTP-GET-Anfragen gespeicherte Zugangsdaten aus dem Gerät auszulesen. In einem zweiten Schritt werden die DHCP/DNS-Einstellungen des Routers so manipuliert, dass der gesamte Netzwerkverkehr über von APT28 kontrollierte DNS-Server umgeleitet wird. Alle im Netzwerk befindlichen Endgeräte – Laptops, Smartphones, Tablets – übernehmen diese manipulierten Einstellungen automatisch.

Die Kampagne wurde von Lumen’s Black Lotus Labs unter dem Codenamen FrostArmada erfasst. Auf US-amerikanischer Seite koordinierte das Justizministerium (DoJ) zusammen mit dem FBI eine gerichtlich autorisierte technische Operation namens Operation Masquerade, um die US-Infrastruktur des Botnetzes abzuschalten.

Wie funktioniert der Angriff?

Das Vorgehen von APT28 lässt sich in drei Phasen unterteilen:

Phase 1 – Kompromittierung des Routers: Die Angreifer scannen das Internet nach öffentlich erreichbaren TP-Link-Geräten, die anfällig für CVE-2023-50224 sind. Über die Schwachstelle werden zunächst die Router-Zugangsdaten ausgelesen, anschließend werden die DNS-Einstellungen auf APT28-kontrollierte Server umgeschrieben.

Phase 2 – DNS-Hijacking und AitM-Infrastruktur: APT28 betreibt eine Infrastruktur aus gemieteten Virtual Private Servers (VPS), die als bösartige DNS-Resolver fungieren. Alle DNS-Anfragen der kompromittierten Netzwerke laufen durch diese Infrastruktur. Für ausgewählte Zieldienste – insbesondere Microsoft Outlook Web Access (`outlook.office.com`, `outlook.live.com`, `autodiscover-s.outlook.com`) – liefern die Angreifer gefälschte DNS-Antworten und leiten die Opfer auf täuschend echte Phishing-Seiten um (Adversary-in-the-Middle, AitM).

Phase 3 – Credential-Ernte und Ziel-Filterung: Sobald ein Opfer auf einer der manipulierten Seiten seine Zugangsdaten eingibt, werden Passwörter sowie OAuth-Token und ähnliche Authentifizierungsdaten abgegriffen. Die Operation ist dem Anschein nach opportunistisch angelegt: APT28 erfasst zunächst eine große Menge an Nutzern und filtert dann gezielt solche heraus, die für russische Geheimdienstinteressen von Bedeutung sind – etwa Personen aus Militär, Regierung und kritischer Infrastruktur.

Betroffene Geräte

– TP-Link Archer C5, C7
– TP-Link WDR3500, WDR3600, WDR4300
– TP-Link WR1043ND
– TP-Link MR3420, MR6400 (LTE-Modelle)
– Weitere TP-Link- und MikroTik-Geräte

Diese Liste ist laut NCSC nicht abschließend.

Das BfV hat in Deutschland rund 30 verwundbare Geräte identifiziert. Ab dem 13. März 2026 wurden die Betreiber der betroffenen Geräte gemeinsam mit den Verfassungsschutzbehörden der Länder kontaktiert und über das Risiko informiert. In einzelnen Fällen konnte eine tatsächliche Kompromittierung durch APT28 bestätigt werden. Viele der betroffenen Router wurden inzwischen ausgetauscht. Das BfV führt derzeit forensische Untersuchungen an einzelnen Geräten durch.