Fancy Bear wird mit destruktiven Angriffen auf ukrainische kritische Infrastruktur sowie auf ausländische Regierungsziele in Verbindung gebracht und wurde unter anderem der Einmischung in die US-Wahl 2016 zugeschrieben. Die Gruppe ist bekannt für bewährte Methoden des Erstzugriffs über Social Engineering und Phishing sowie für anspruchsvolle Kampagnen zum Diebstahl von Zugangsdaten unter Ausnutzung kritischer Schwachstellen, darunter Zero-Days.
In seinem Bericht beschreibt Trend Micro, dass „Prismex" mehrere Windows-Schwachstellen ausnutzt, darunter einen bestätigten Windows-Zero-Day unter CVE-2026-21513 sowie die Microsoft-Office-Lücke CVE-2026-21509. Die Kampagne reicht laut dem Anbieter mindestens bis September 2025 zurück und gewann im Januar dieses Jahres an Fahrt. Die Schadsoftware kombiniert nach Angaben von Trend Micro fortgeschrittene Steganografie, COM-Hijacking (Component Object Model) und den Missbrauch legitimer Cloud-Dienste für die Steuerung. Sie verfügt sowohl über Spionage- als auch über Sabotagefunktionen, letztere einschließlich Wiper-Befehlen.
Der zweite Bericht behandelt NTLMv2-Hash-Relay-Angriffe, die zwischen April 2022 und November 2023 gegen ein breites Spektrum globaler Ziele liefen. Dabei fing APT28 Authentifizierungsdaten zwischen Zielsystem und Opfer ab und leitete sie weiter, um eine Anmeldung ohne das genaue Passwort zu erfassen. Genutzt wurde die kritische, inzwischen gepatchte Outlook-Schwachstelle CVE-2023-23397: Eine bösartige Kalendereinladung als .msg-Datei löste den verwundbaren API-Endpunkt aus. Verbindet sich das Opfer mit dem SMB-Server des Angreifers, übermittelt es laut Trend Micro seinen Net-NTLMv2-Hash, den der Angreifer zur Authentifizierung gegenüber anderen Systemen verwenden kann. Zur Anonymisierung setzte APT28 VPNs, Tor, Rechenzentrums-IP-Adressen und kompromittierte EdgeOS-Router ein.
Feike Hacquebord, leitender Bedrohungsforscher bei TrendAI, sagt gegenüber Dark Reading, die Untersuchung beruhe zwar auf Erkenntnissen aus dem Jahr 2024, doch für Verteidiger sei heute relevant, dass die alten Methoden von Pawn Storm weiterhin wirksam seien. Die Technik des DNS-Hijackings etwa sei über 20 Jahre alt. Pawn Storm nehme nicht nur prominente Ziele wie die NATO und westliche Verteidigungsministerien ins Visier, sondern auch vermeintlich kleinere Akteure wie Kommunalverwaltungen, Regierungen von Entwicklungsländern oder kleinere Unternehmen.
Im Anschluss an die beiden Berichte warnte das FBI, dass die GRU über Fancy Bear Router ausnutzt, um weltweit Zugangsdaten zu stehlen. Die Behörde nannte konkret über CVE-2023-50224 kompromittierte TP-Link-Router. Seit mindestens 2024 hätten GRU-Akteure Geräteeinstellungen verändert, um angreifergesteuerte DNS-Resolver einzuschleusen und Angriffe auf verschlüsselten Verkehr aufzubauen, sofern Nutzer eine Zertifikatswarnung übergingen. Gemeinsam mit dem US-Justizministerium habe man kürzlich ein GRU-Netzwerk kompromittierter SOHO-Router gestört, das missbräuchliche DNS-Hijacking-Operationen ermöglichte. Das britische National Cyber Security Centre (NCSC) und weitere internationale Partner veröffentlichten ähnliche Warnungen. Zu den Zielen zählten Militär in Europa und Südamerika, Organisationen der Verteidigungsindustrie weltweit, der Energiesektor und weitere kritische Einrichtungen.
Auf die Frage, wie sich Verteidiger gegen einen seit zwei Jahrzehnten aktiven, vom GRU getragenen Akteur behaupten können, verweisen mehrere Fachleute auf die Grundlagen. Denis Calderone, CTO von Suzu Labs, betont, dass ein Großteil der Raffinesse von APT28 erst nach dem Erstzugriff zum Tragen komme; davor handle es sich oft um dieselben Tricks wie bei anderen Angreifern. Multifaktor-Authentifizierung stoppe Password-Spraying, das Patchen von Office die Lücke CVE-2026-21509, aktualisierte Router-Firmware und geänderte Standard-Zugangsdaten die Aktivität „FrostArmada". Falle diese Basis aus, hätten kleinere Organisationen ohne eigenes Sicherheitsteam jedoch große Mühe; hier würden Managed-Detection-Dienste oder branchenspezifische ISACs entscheidend.
Vishal Agarwal, CTO von Averlon, ergänzt, dass Zero Trust, das Prinzip der minimalen Rechtevergabe, starke Identitätskontrollen und bedarfsgerechte Zugriffe die Bewegungsfreiheit eines Eindringlings begrenzen. Seemant Sehgal, Gründer und CEO von BreachLock, hält dem Erfolg von Fancy Bear entgegen, dieser beruhe nicht auf Magie, sondern auf exponierten Diensten, schwachen Identitätskontrollen und bekannten Lücken; am besten hielten jene Organisationen stand, die ihre Angriffsfläche fortlaufend verkleinerten und jeden Tag davon ausgingen, bereits ein Ziel zu sein.
