Fancy Bear gilt als einer der persistentesten und gefährlichsten APTs der Gegenwart. Seit Mitte der 2000er Jahre operiert die Gruppe im Dienste des russischen Militärgeheimdienstes und hat sich dabei auf Cyber-Spionage gegen Regierungen und Organisationen spezialisiert, die den geopolitischen Interessen Russlands widersprechen. Die Gruppe war bereits an destruktiven Angriffen auf ukrainische kritische Infrastruktur beteiligt und wird für die Einmischung in die US-Präsidentschaftswahlen 2016 verantwortlich gemacht.
Trend Micro hat in den vergangenen Wochen zwei umfangreiche Forschungsberichte zu Fancy Bears Aktivitäten veröffentlicht. Im März 2026 dokumentierte das Sicherheitsunternehmen den Einsatz einer Malware-Suite namens “Prismex”, die gezielt gegen die Verteidigungslieferkette der Ukraine und ihrer Verbündeten eingesetzt wird. Ziele waren unter anderem die Tschechische Republik, Polen, Rumänien, die Slowakei, Slowenien und die Türkei. Die Prismex-Kampagne reicht mindestens bis September 2025 zurück, intensivierte sich aber ab Januar 2026.
Besonders bemerkenswert ist die technische Sophistikation von Prismex: Die Malware nutzt mehrere Windows-Sicherheitslücken, darunter eine bestätigte Zero-Day-Vulnerabilität (CVE-2026-21513) und einen Microsoft-Office-Bug (CVE-2026-21509). Die Suite kombiniert fortgeschrittene Steganographie, COM-Hijacking und den Missbrauch legitimer Cloud-Services für Command-and-Control-Kommunikation. Besonders alarmierend: Prismex bietet sowohl Spionage- als auch Sabotage-Funktionen, einschließlich Wiper-Befehlen zum Löschen von Daten.
Ein zweiter Bericht vom April 2026 befasst sich mit NTLMv2-Hash-Relay-Angriffen, die APT28 zwischen April 2022 und November 2023 durchführte. Diese Angriffe nutzen die gepatchte Outlook-Sicherheitslücke CVE-2023-23397. Über manipulierte Kalenderdateianhänge (MSG-Dateien) werden Nutzer dazu verleitet, sich mit dem Server eines Angreifers zu verbinden. Dabei wird ihr Net-NTLMv2-Hash übertragen, der dann für Authentifizierungen gegen andere NTLM-fähige Systeme missbraucht wird.
Die FBI warnte kürzlich, dass die GRU über Fancy Bear weltweit Router ausnutzt, um Anmeldedaten zu stehlen. Besondere Aufmerksamkeit gilt kompromittierten TP-Link-Routern (CVE-2023-50224), bei denen Angreifer seit 2024 DNS-Resolver manipulieren und Man-in-the-Middle-Angriffe durchführen.
Angesichts dieser Bedrohungslage geben Sicherheitsexperten praktische Empfehlungen: Multifaktor-Authentifizierung, regelmäßiges Patching, Router-Firmware-Updates und Schulung von Nutzern sind Grundlagen, die Organisationen jeder Größe implementieren können. Zero-Trust-Architekturen und Least-Privilege-Zugriff können die Ausbreitungsgeschwindigkeit von Angriffsgruppen begrenzen.