Die Kampagne, die Forscher von Lumens Black Lotus Labs und Microsoft dokumentiert haben, offenbart eine unbequeme Wahrheit über moderne Cybersicherheit: Raffinierte Spionage erfordert nicht zwingend komplexe Malware oder bislang unbekannte Exploits. APT28 und seine Untergruppe Storm-2754 haben stattdessen bewiesen, dass alte, gut dokumentierte Sicherheitslücken in weit verbreiteten Geräten eine goldene Grube für Geheimdienste darstellen.
Das Modus Operandi ist elegant in seiner Einfachheit: Die Angreifer kompromittieren MikroTik- und TP-Link-Router sowie vereinzelt Firewall-Produkte von Nethesis und Fortinet durch bekannte Schwachstellen. Eine häufig ausgenutzte Lücke ist CVE-2023-50224, eine mittelschwere Informationspreisgabe bei TP-Link, die keine Authentifizierung erfordert und bereits drei Jahre alt ist. Nach dem Zugriff ändern die Hacker die DNS-Einstellungen des Routers so ab, dass sämtlicher Datenverkehr durch ihre eigenen virtuellen Server geleitet wird. Wenn ein Nutzer versucht, sich bei Diensten wie Microsoft Outlook anzumelden, läuft die Verbindung durch die Infrastruktur der Angreifer — und die Anmeldedaten werden abgefangen.
Das Perfide daran: Es gibt keine Malware, keine verdächtigen Prozesse, die ein Antivirenprogramm erkennen könnte. Die Manipulation ist minimal und damit praktisch unmöglich zu entdecken, ohne den Router selbst zu inspizieren. Danny Adamitis von Black Lotus Labs betont, dass ein bloßer Scan mit Endpoint Detection and Response-Tools die Kompromittierung nicht aufdecken würde.
Auf ihrem Höhepunkt im Dezember 2025 identifizierten die Forscher 18.000 einzigartige IP-Adressen über mindestens 120 Länder hinweg, die mit der Infrastruktur der Angreifer kommunizierten. Microsoft dokumentierte über 200 betroffene Organisationen und mehr als 5.000 kompromittierte Privatgeräte. Das Ziel ist klassisch für APT28: Zugriff auf E-Mail-Konten von Personen und Institutionen, die für die russische Regierung von Interesse sind.
Warum nutzen sogar Regierungen solche anfälligen Geräte? Ryan English von Lumen Technologies erklärt es mit Wirtschaftlichkeit und Pragmatismus: SOHO-Router funktionieren, sind günstig und einfach zugänglich. Der Nachteil liegt aber auf der Hand — sie lassen sich schwer überwachen, Sicherheitsupdates sind mühsam einzuspielen, und ihre Anfälligkeit ist quasi ein strukturelles Problem.
Ein tieferes Problem liegt jedoch im DNS-System selbst. Der dezentralisierte DNS-Dienst ist grundsätzlich schwer zu kontrollieren — niemand ist wirklich rechenschaftspflichtig, wenn etwas schiefläuft. Adamitis vergleicht es mit Google Maps: Nutzer vertrauen dem System blind, ohne zu prüfen, ob die Information korrekt ist. Genau diesen Vertrauensbruch nutzt APT28 aus.
Die US-Justiz startete im April 2025 “Operation Masquerade”, um die US-bezogenen Teile der Kampagne zu unterbrechen. Doch die Bedrohung bleibt global, und deutsche Organisationen sollten prüfen, ob sie SOHO-Router einsetzen und diese dringend patchen — oder besser noch, gegen Enterprise-Lösungen austauschen.