Nach Darstellung von CERT-UA prüfen die Angreifer bei der Rückkehr zu bereits unterwanderter Infrastruktur systematisch, ob ihr Zugang noch funktioniert, ob ausgenutzte Schwachstellen geschlossen wurden und ob zuvor erbeutete Zugangsdaten weiterhin gültig sind. Diese Versuche seien zuweilen erfolgreich, sofern die Ursache des ursprünglichen Vorfalls nicht vollständig beseitigt worden sei.

Der Trend markiert einen Wandel in den Taktiken über das Jahr 2025 hinweg. In der ersten Jahreshälfte beruhten viele Vorfälle auf einem Ansatz, bei dem Schadsoftware eingesetzt wurde, um rasch Zugangsdaten oder andere sensible Informationen abzugreifen und das System anschließend zu verlassen, um einer Entdeckung zu entgehen. In der zweiten Jahreshälfte verlagerte sich der Fokus dagegen auf das Aufrechterhalten eines dauerhaften Zugangs.

Diese Strategie erlaube es den Akteuren, den Wert erfolgreicher Einbrüche zu maximieren, indem sie später zurückkehren, ihren Zugang ausweiten, Spionage betreiben oder weitere Phasen ihrer Operationen unterstützen, so CERT-UA.

Auch beim Erstzugang zu ukrainischen Netzwerken beobachteten die Forscher Veränderungen. Klassische Phishing-Mails und schädliche Anhänge würden zunehmend wirkungslos, da Organisationen für gängige Bedrohungen sensibilisiert seien. Stattdessen setzten die Angreifer verstärkt auf ausgefeilte Methoden des Social Engineering, um Vertrauen aufzubauen.

Vielfach kontaktierten die Hacker ihre Ziele direkt per Telefon über ukrainische Mobilfunknummern und legitime Messaging-Konten, sprächen fließend Ukrainisch und verfügten über detailliertes Wissen über die betreffenden Personen oder Organisationen. Erst nachdem über Telefonate oder Videogespräche Vertrauen hergestellt worden sei, würden schädliche Dateien über Messaging-Apps verschickt – was die Wahrscheinlichkeit deutlich erhöhe, dass die Opfer sie öffneten.

Nach Angaben von CERT-UA nutzten russlandnahe Gruppen diese Technik, darunter APT28, auch als Fancy Bear bekannt, sowie der als Void Blizzard geführte Akteur. Die Angriffe richteten sich gegen Angehörige der ukrainischen Streitkräfte und gegen Regierungseinrichtungen.

Trotz der veränderten Taktiken ging die Gesamtzahl der Cybervorfälle in der zweiten Jahreshälfte 2025 gegenüber der ersten zurück – der erste derartige Rückgang seit Beginn der russischen Invasion. Dies könne darauf hindeuten, dass sich ukrainische Organisationen allmählich an das Bedrohungsumfeld anpassten und ihre Abwehr verbesserten.

Hauptziel bleibe der Sicherheits- und Verteidigungssektor, betonte CERT-UA, da eine Störung oder Infiltration dieser Netzwerke den Verlauf des Krieges unmittelbar beeinflussen könne.