APT28 verwandelt Heimrouter in ein Schattenetzwerk für staatliches Hacking

Die Entscheidung, die in diesem Quartal auf dem Schreibtisch jedes Platform-Leads liegt, ist gerade teurer geworden. Ein staatlich gesteuerter Akteur mit zwei Jahrzehnten operativer Geschichte hat aufgehört, Server zu mieten, und fängt an, die Router Ihrer Kunden zu mieten. Für jedes Team, das in den nächsten 90 Tagen Edge-Infrastruktur, Vendor-Konsolidierung oder MFA-Rollout plant, hat sich das Bedrohungsmodell still und leise unter der Beschaffungstabelle verschoben.

Die entscheidende Zahl, die man dem CFO vorlegen sollte: Mehr als 18.000 einzigartige IPs in 120 Ländern fungierten auf dem Höhepunkt im Dezember 2025 als Befehlsrelais für eine einzige GRU-Einheit. Das ist kein Botnet-Problem. Das ist ein Problem der Routing-Ökonomie.

Was passiert ist

Laut einem Bericht, der CyberSecurityNews von Analysten bei Sekoia vorgelegt wurde, hat APT28 (offiziell der russischen GRU-Einheit 26165 zugeordnet und unter mehr als 30 Aliasnamen verfolgt, darunter Forest Blizzard, Sofacy, Pawn Storm und Sednit) seine offensiven Operationen grundlegend umstrukturiert. Die Gruppe gab gemietete VPS-Infrastruktur als primäre Befehlsebene auf und baute diese Ebene auf kompromittierten SOHO-Routern und Edge-Geräten neu auf.

Der Umfang macht dies zu einer strategischen Geschichte und nicht zu einer Incident-Response-Geschichte. Sekoia beobachtete rund 200 betroffene Organisationen und 5.000 kompromittierte Consumer-Geräte, mit Opferkonzentration in Außenministerien, Strafverfolgungsbehörden und IT-Hosting-Anbietern. Die Exposition der Hosting-Anbieter ist der Teil, den die meisten Platform-Teams unterschätzen werden, denn es bedeutet, dass der vorgelagerte Transit als Waffe eingesetzt wird – nicht nur Endpunkte.

Der Router-Ansatz ist für APT28 nicht neu. Die Gruppe übernahm im April 2022 Hunderte von Ubiquiti EdgeRoutern, indem sie ein kriminelles Botnet auf Basis der MooBot-Malware zweckentfremdete. Dieses Netzwerk leitete gestohlene Authentifizierungs-Hashes an Microsoft Exchange weiter, hostete Phishing-Seiten auf privaten IPs und führte benutzerdefinierte Python-Skripte auf den gekaperten Geräten aus. Die Operation Dying Ember des FBI zerlegte es 2024. Selbst nach dieser Abschaltung meldeten sich noch mehr als 350 Datacenter-Server zurück.

Im Jahr 2026 erweiterte APT28 dasselbe Vorgehen im Rahmen einer Kampagne namens FrostArmada, diesmal auf MikroTik- und TP-Link-Router zielend und DNS-Einstellungen umschreibend, um Datenverkehr – einschließlich Microsoft 365 OAuth-Tokens – durch akteurskontrollierte Knoten zu leiten. Das IC3 des FBI veröffentlichte eine öffentliche Warnung und forderte Heimanwender und kleine Unternehmen auf, ihre Router-Einstellungen zu überprüfen.

Technische Analyse

Zieht man die Namen ab, sind drei architektonische Verschiebungen für jeden relevant, der Build-versus-Buy-Entscheidungen bei Edge-Infrastruktur trifft.

Erstens hat sich die Befehlsebene in ein Territorium verlagert, das Verteidiger nicht einfach blockieren können. Wenn der C2-Verkehr von 18.000 privaten IPs in 120 Ländern ausgeht, werden Allowlist-basierte Egress-Kontrollen nutzlos, und Geo-Blocking wird zur Nutzererfahrungs-Steuer ohne Sicherheitsgewinn. Der Angreifer hat im Wesentlichen Distribution zu null Grenzkosten eingekauft, weil die Router bereits von jemand anderem bezahlt werden. Das ist die Einheitskosten-Asymmetrie, die Sicherheitsverantwortliche verinnerlichen müssen: Ihre defensiven Ausgaben skalieren linear, die offensiven Ausgaben des Angreifers skalieren mit dem Abschreibungszyklus von Consumer-Elektronik.

Zweitens hat sich der Malware-Lebenszyklus verkürzt. APT28 ist von einem stabilen Framework zu kurzlebigen, zweckgebundenen Tools übergegangen, die in dem Moment verworfen werden, in dem sie entdeckt werden. Sekoia meldete auch Experimente mit einem KI-gesteuerten Infostealer namens LameHug, der ein Live-KI-Modell abfragt, um Angriffsbefehle spontan zu generieren. Ordnet man das in MITRE ATT&CK ein, versteht man, warum statische IOC-Feeds als Kontrollinstrument abnehmen: Die Indikatoren haben eine Halbwertszeit von Stunden, und die Befehlslogik ist nicht einmal mehr im Binary enthalten.

Drittens sind Cloud-Services jetzt tragende C2-Säulen. Die benutzerdefinierte C++ Backdoor BeardShell, die in Operation Phantom Net Voxel eingesetzt wurde, nutzt eine Cloud-Storage-API als Befehlskanal. Für ein Netzwerk-Monitoring-Tool sieht dieser Datenverkehr aus wie jeder andere API-Aufruf an einen vertrauenswürdigen SaaS-Endpunkt. Forscher sahen dieselbe Angriffskette Monate später auf einer anderen File-Hosting-Plattform wieder auftauchen – das zeigt, dass das Rotieren von Cloud-Backends jetzt ein routinemäßiger operativer Schritt ist, keine einmalige Improvisation. Ein auf derselben Operator-Infrastruktur gefundener Keylogger namens Slimagent zeigt direkte Code-Abstammung von X-Agent, dem Signatur-Implantat von APT28 aus über einem Jahrzehnt. Die Hülle ändert sich, die Kernfähigkeit nicht.

Wer am stärksten betroffen ist

Drei Gruppen absorbieren den größten Teil des Schadens durch diese Verschiebung – und nicht alle sind sich dessen bewusst.

Hosting-Anbieter und IaaS-Reseller sind die am stärksten exponierte Kategorie, und Sekoias Opferliste bestätigt dies. Wenn Sie auf der Transit-Ebene operieren, wird Ihr Abuse-Desk in Kürze mehr zu tun haben, und Ihre Haftungsdarstellung gegenüber Regulierungsbehörden wird komplizierter. Als 350 Datacenter-Server nach der Operation Dying Ember weiterhin Beacon-Signale sendeten, war das kein Bereinigungsfehler – das war ein Beweis dafür, wie gründlich kompromittierte Assets von benachbarten Akteuren re-monetarisiert werden. Jede Plattform, die Bare-Metal oder Managed Routing weiterverkauft, sollte die Kosten für erzwungenes Re-Imaging in den Kunden-LTV einrechnen.

Unternehmen, die auf Microsoft 365 mit OAuth-basiertem SSO standardisiert sind, sind die zweite Angriffsfläche. FrostArmadas DNS-Rewrite-Trick bedeutet, dass Token-Diebstahl auf der Netzwerkebene stattfindet, unterhalb des Bedrohungsmodells der Anwendung. Wenn Ihre IdP-Integration davon ausgeht, dass der Netzwerkpfad zwischen Nutzer und Microsoft vertrauenswürdig ist, gilt diese Annahme nicht mehr für jeden Nutzer hinter einem Consumer-Router – und das sind die meisten in einer hybriden Belegschaft. GC und CISO müssen sich in diesem Quartal abstimmen, ob OAuth-Token-Kompromittierung über privates Routing unter dem jeweiligen Regulierungsregime als meldepflichtiger Vorfall gilt.

Schließlich sollten Fintech- und iGaming-Betreiber mit KYC- und AML-Stacks, die auf IP-Reputation aufgebaut sind, ihre Annahmen überprüfen. Wenn 18.000 private IPs als bestätigt bösartig, aber äußerlich unauffällig eingestuft sind, steigt die False-Negative-Rate beim Fraud-Scoring in eine Richtung, auf die niemand Alarm schlägt. Der CFO jedes lizenzierten Betreibers sollte den VP Engineering diese Woche fragen, wie stark das aktuelle Fraud-Modell auf kommerzielle IP-Reputation-Feeds angewiesen ist und wie die Migrationskosten aussehen, wenn diese Feeds einen strukturellen Genauigkeitsverlust erleiden. Das ist heute ein sechsstelliges Gespräch – und ein siebenstelliges, wenn es in der Quartalsüberprüfung eines Regulierers auftaucht.

Maßnahmenplan für Sicherheitsteams

Drei Maßnahmen, die im nächsten Sprint priorisiert werden sollten, in Reihenfolge der Priorität.

Prüfen Sie OAuth-Token-Scopes und Refresh-Richtlinien in Ihren Microsoft 365- und Google Workspace-Tenants. Die FrostArmada-Kette nutzt langlebige Tokens mit breiten Scopes. Das Verkürzen von Refresh-Fenstern und die Durchsetzung von Phishing-resistenter MFA (Hardware-Keys oder Platform-Authenticators, kein SMS) schließt das Fenster, in dem ein gestohlener Token nützlich ist. Das ist die wirkungsvollste Maßnahme mit dem geringsten Kapitaleinsatz.

Strukturieren Sie das Egress-Monitoring um Verhaltens-Baselines statt IOC-Listen um. Wenn der C2-Endpunkt eine legitime Cloud-Storage-API ist, können Sie das Ziel nicht blockieren – Sie können nur das Muster erkennen. Das bedeutet Investitionen in User-and-Entity-Behavior-Analytics für ausgehende Flows und die Akzeptanz, dass Ihre SIEM-Regeln einen Aktualisierungsrhythmus im Wochentakt benötigen, nicht im Quartalstakt. Gleichen Sie verdächtige Flows mit dem CISA KEV-Katalog für die zugrundeliegenden Router-CVEs ab.

Für jedes Team, das Hardware an Kunden liefert oder auf Customer-Premises-Equipment zur Servicebereitstellung angewiesen ist (Telcos, ISPs, Mesh-Netzwerk-Anbieter, IoT-Betreiber): Jetzt ist der Moment, eine Firmware-Update-SLA in den Kundenvertrag aufzunehmen. Die Auswirkungen auf den Arbeitsmarkt sind ebenfalls real: Defensive Engineers, die Router-Internals und DNS-Layer-Angriffe verstehen, werden in Kürze teurer. Sichern Sie dieses Talent jetzt oder planen Sie den Aufpreis in Q4 ein.

Zentrale Erkenntnisse

• APT28s Wechsel zu 18.000+ privaten IPs als C2-Infrastruktur macht Geo-Blocking und IP-Reputation-basierte Abwehr strukturell schwächer – nicht nur taktisch degradiert.
• Cloud-API-Befehlskanäle (BeardShell nutzt Cloud-Storage-APIs) bedeuten, dass Netzwerk-Egress-Kontrollen auf Basis von Ziel-Allowlisting allein nicht mehr ausreichen.
• Hosting-Anbieter und IaaS-Reseller tragen überproportionales Risiko; die Persistenz nach Operation Dying Ember (350+ Server sendeten weiterhin Beacon-Signale) zeigt, dass Takedowns das Risiko nicht vollständig zurücksetzen.
• OAuth-Token-Diebstahl über DNS-Rewrites an kompromittierten Heimroutern macht Phishing-resistente MFA und kurze Token-Laufzeiten zur Grundvoraussetzung – nicht zur optionalen Härtung.
• Teams, die Edge-Infrastruktur-Anbieter evaluieren, sollten jetzt fragen, wie Firmware-Update-SLA und CVE-Reaktionszeit vertraglich geregelt sind – nicht nur auf der Marketing-Seite.

Der vorausschauende Rahmen lautet: Sicherheitsverantwortliche, die ihre Edge- und Identity-Roadmaps für 2026 bewerten, sollten prüfen, ob ihre aktuelle Architektur einen vertrauenswürdigen Netzwerkpfad zu SaaS-Anbietern voraussetzt. Wenn die Antwort ja lautet, ist die Roadmap bereits veraltet.