Spätestens seit Mai 2025, möglicherweise schon seit 2024, fängt die Gruppe den Internetverkehr mittel- und hochwertiger Organisationen weltweit ab. Das Prinzip ist denkbar einfach: Über bekannte Schwachstellen verschaffen sich die Angreifer Zugang zu den Verwaltungsoberflächen der Geräte und ändern deren DNS-Einstellungen, sodass der Verkehr über einen von ihnen kontrollierten VPS umgeleitet wird. Ruft ein Nutzer eine Website auf, läuft die Anfrage durch die Infrastruktur von APT28; handelt es sich um einen für die Gruppe interessanten Dienst wie Microsoft Outlook im Web, wird die Anfrage weitergeleitet und die Zugangsdaten werden abgegriffen.

Ein Beispiel für eine ausgenutzte Lücke ist CVE-2023-50224, ein Informationsleck mittlerer Schwere in TP-Link-Geräten, das sich ohne Authentifizierung ausnutzen lässt. Neben MikroTik- und TP-Link-Routern waren in selteneren Fällen auch Firewall-Produkte von Nethesis und Fortinet betroffen.

Das US-Justizministerium kündigte mit “Operation Masquerade” eine gerichtlich angeordnete Maßnahme gegen den US-Teil der Kampagne an; betroffen waren demnach Ziele aus Militär, Verwaltung und kritischer Infrastruktur. Auf ihrem Höhepunkt im Dezember 2025 identifizierte Black Lotus Labs 18.000 einzelne IP-Adressen in mindestens 120 Ländern, die mit der Angreiferinfrastruktur kommunizierten. Microsoft zählte mehr als 200 betroffene Organisationen sowie über 5.000 Endgeräte von Verbrauchern.

Das Auffällige an der Kampagne ist das Fehlen von Schadsoftware. “Eines hat mich besonders interessiert: Es gibt keine Malware”, sagt Danny Adamitis, leitender Sicherheitsingenieur bei Black Lotus Labs, gegenüber Dark Reading. Selbst wenn man einen gekaperten Router mit einem EDR-Werkzeug durchsuche oder alles bei VirusTotal hochlade, finde sich nichts — die Angreifer änderten lediglich einen einzigen Eintrag in den DNS-Einstellungen.

Zum genauen Beginn der Aktivitäten gehen die Angaben auseinander: Microsoft verortet ihn frühestens im August des Vorjahres, Black Lotus Labs nennt den Mai des Vorjahres, als ein kompromittierter Router der Regierung Afghanistans auffiel, und das Justizministerium spricht von “mindestens 2024”. Der Wechsel zu den Routern fiel zeitlich mit einem Bericht des britischen National Cyber Security Centre (NCSC) zusammen: Einen Tag nachdem dieses ein APT28-Werkzeug namens “Authentic Antics” zum Abgreifen von Microsoft-Office-Zugangsdaten offengelegt hatte, stellte die Gruppe ihre Taktik auf die SOHO-Router um.

Ryan English, Sicherheitsingenieur bei Lumen Technologies, rät Organisationen, von SOHO-Routern abzurücken, versteht aber deren Verbreitung: Bei vielen dieser Geräte ließen sich die Protokolle nicht einsehen, manche seien bei nötigen Patches nur schwer manuell zu aktualisieren — sie seien gewissermaßen schon ihrer Natur nach verwundbar.

Für Adamitis liegt das eigentliche Problem tiefer, beim DNS — einem dezentralen System, für das sich niemand wirklich verantwortlich fühle. Nutzer verließen sich darauf, dass DNS ihnen den richtigen Server nenne, ähnlich wie man bei Google Maps der angezeigten Route vertraue, ohne sie auf einer zweiten Karte zu prüfen. Wenn etwas schiefgehe, zeige jeder auf den anderen. “Es ist wirklich der Wilde Westen”, sagt er.