Der Ausfall begann gegen Ende des Arbeitstages am 23. Juli 2025. Festnetz sowie die 4G- und 5G-Mobilfunknetze von POST gingen zu Boden. Auslöser war speziell präparierter Netzwerkverkehr, der Huawei-Unternehmensrouter in eine fortlaufende Neustartschleife versetzte und damit zentrale Teile der POST-Infrastruktur lahmlegte. Als die Verbindung nach mehr als drei Stunden wiederhergestellt war, gingen bei der nationalen Notrufzentrale Hunderte zusätzliche Anrufe ein.

Laut Rausch teilte Huawei dem Betreiber mit, das Unternehmen sei einem solchen Angriff bei keinem seiner Kunden je begegnet und habe keine fertige Lösung. Mehrere Quellen, die nur unter der Bedingung der Anonymität über vertrauliche Unterrichtungen sprachen, stuften den Vorfall als Zero-Day-Angriff ein. Eine Wiederholung ist nicht belegt, doch die Lücke bleibt ungeklärt und wurde vom Unternehmen nicht öffentlich eingeräumt. Huawei erhielt vor Veröffentlichung detaillierte Fragen von Recorded Future News, gab dazu aber keine Stellungnahme ab.

Die luxemburgische Regierung sprach zunächst von einem „außergewöhnlich fortgeschrittenen und ausgeklügelten Cyberangriff" – eine Formulierung, die sich laut POST auf das zur Ausnutzung nötige Fachwissen bezog. Anfangs war auch von einem DDoS-Angriff die Rede; POST stellte später klar, dass es sich nicht um die volumetrische Variante handelte, wie sie häufig von Hacktivisten und Cyberkriminellen eingesetzt wird.

Die Staatsanwaltschaft erklärte, eine Untersuchung von Polizei und Cybersicherheitsexperten habe ergeben, dass „beschädigte Daten, die zur Vorbereitung eines Angriffs auf einen beliebigen darauf antwortenden Server dienen könnten", über POST Luxembourg in dessen Rolle als Internetdienstanbieter weitergeleitet worden seien und dessen Systeme zum Stoppen und Neustarten gebracht hätten, statt die Daten lediglich durchzureichen. Die Ermittler kamen letztlich zu dem Schluss, es gebe „keine Hinweise darauf, dass ein Angriff gezielt gegen POST Luxembourg als ausgewähltes Ziel gerichtet war", so eine Sprecherin des Hohen Kommissariats für nationalen Schutz. Strafanzeigen wurden nicht erhoben.

Die Befunde legen nahe, dass böswillig präparierter Datenverkehr, der lediglich durch die POST-Infrastruktur lief, den Ausfall ausgelöst haben könnte. Statt die Daten weiterzuleiten, gerieten die Huawei-Router offenbar in einen undokumentierten Fehlerzustand, der sie wiederholt anhalten und neu starten ließ.

Huaweis Netzwerkbetriebssystem VRP war bereits zuvor von DoS-Schwachstellen durch speziell präparierten Protokollverkehr betroffen, darunter CVE-2021-22359 und CVE-2022-29798. POST betonte, dass keine dieser zuvor offengelegten Huawei-Schwachstellen am Luxemburger Vorfall beteiligt war.

Während Huawei für Verbraucherprodukte routinemäßig CVEs einreicht, sind öffentliche Veröffentlichungen zu Schwachstellen in seiner Unternehmens-Netzwerksoftware in den vergangenen Jahren selten geworden; viele der dokumentierten Fälle stammen stattdessen von unabhängigen Sicherheitsforschern. Das Unternehmen publiziert weiterhin Sicherheitshinweise für Unternehmen, jedoch über ein zugangsbeschränktes Kundenportal statt über breite öffentliche Warnungen. Einen solchen Hinweis – ebenfalls ohne CVE-Kennung – veröffentlichte das Unternehmen kürzlich zu einer DoS-Lücke beim Parsen von Datenpaketen; ein Zusammenhang mit dem Luxemburger Vorfall ist nicht belegt.

Nach dem Angriff hielten die luxemburgischen Behörden und Huawei mehrere technische Treffen ab, um den Vorgang zu verstehen, so Anne Jung vom Hohen Kommissariat für nationalen Schutz. Die Cybersicherheitsbehörden alarmierten zudem über etablierte Regierungskanäle befreundete Reaktionsteams in ganz Europa. Ein CVE zur Warnung der breiteren Fachöffentlichkeit wurde jedoch nie eingereicht. Auf die Frage, wer dafür zuständig sei, sagte Jung, diese Entscheidung liege nach den üblichen Offenlegungsverfahren beim Hersteller. POST erklärte, man habe technische Informationen beigesteuert, aber keine Kontrolle über die Offenlegung gehabt. Zehn Monate später bleibt unklar, ob die Schwachstelle je vollständig behoben wurde und ob vergleichbare Huawei-Systeme heute noch verwundbar sind.