Im Mittelpunkt der gemeinsamen Warnung steht eine klar beschriebene Vorgehensweise: Die dem FSB-Zentrum 16 zugerechnete Gruppe durchsucht mit dem Internet verbundene IP-Adressbereiche nach Routern, die Standardkennwörter oder häufig verwendete SNMP-Authentifizierungszeichenfolgen akzeptieren. Anschließend senden die Angreifer Befehle unter gefälschten IP-Adressen, um Konfigurationsdateien der Geräte zu kopieren und diese über das Trivial File Transfer Protocol an eigene Server zu übertragen.

Das britische National Cyber Security Centre erklärte am Montag, Zentrum 16 sei dabei beobachtet worden, wie es im Internet nach verwundbaren Routern suche, die noch Standard- oder schwache Kennwörter und Community-Strings für das Simple Network Management Protocol verwenden. Die Behörde ergänzte, dass die Akteure SNMP-Scans zwar primär zur Suche und Kompromittierung verwundbarer Router einsetzten, aber auch bekannte Schwachstellen in Verbindung mit Cisco-Geräten, der Smart-Install-Funktion von Cisco sowie Webportal-Lücken ausgenutzt hätten, um Kontrolle über Netzwerkgeräte zu erlangen.

Bereits im August 2025 hatte das FBI gewarnt, dass dieselbe Gruppe seit November 2021 kritische Infrastruktur auch über eine kritische Schwachstelle in der Smart-Install-Funktion von Cisco IOS und Cisco IOS XE angreift. Diese Lücke wird unter CVE-2018-0171 geführt.

Als besonders gefährdet nennen die beteiligten Behörden die Sektoren Energie, Kommunikation, Verteidigungsindustrie, Gesundheitswesen, Finanzdienstleistungen, Verteidigung sowie staatliche und kommunale Dienste. Die Warnung ist damit nicht auf einen einzelnen Vorfall bei einem konkret benannten Opfer beschränkt, sondern beschreibt ein andauerndes Vorgehen gegen Netzwerke mit unzureichend abgesicherten Geräten.

Die an der Warnung beteiligten Cybersicherheitsbehörden veröffentlichten zugleich Maßnahmen zur Absicherung. Netzverteidiger sollen auf SNMPv3 umstellen, Cisco Smart Install deaktivieren, starke und eindeutige Passwörter erzwingen, TFTP- und SNMP-Datenverkehr an Perimeter-Firewalls blockieren, Software und Firmware aktualisieren und Geräte ersetzen, deren Lebenszyklus abgelaufen ist.

Der Hinweis folgt auf eine internationale Strafverfolgungsaktion gegen FrostArmada, eine davon getrennte Kampagne, die APT28 zugeschrieben wird. APT28 ist eine russische Militärgeheimdienstgruppe mit Bezug zur GRU-Einheit 26165 und wird auch als Fancy Bear oder Forest Blizzard geführt. Diese Kampagne hatte bis Dezember 2025 nach Angaben im Quelltext 18.000 Router in 120 Ländern infiziert.

Dabei veränderten Angreifer die DNS-Einstellungen kompromittierter SOHO-Router von MikroTik und TP-Link, um Authentifizierungsverkehr auf von ihnen kontrollierte Server umzuleiten und Anmeldedaten für Microsoft 365 sowie OAuth-Token zu stehlen. Im Rahmen einer gerichtlich genehmigten Operation entfernte das FBI mit Unterstützung des US-Justizministeriums, der polnischen Regierung und mehrerer Cybersicherheitsunternehmen die schädlichen DNS-Einstellungen aus der Ferne und zwang die kompromittierten Router dazu, sich wieder mit legitimen DNS-Resolvern zu verbinden.