{"id":276,"date":"2026-06-21T07:00:00","date_gmt":"2026-06-21T07:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/?p=276"},"modified":"2026-06-21T08:26:58","modified_gmt":"2026-06-21T08:26:58","slug":"apt28-gru-tp-link-router-deutschland-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/21\/apt28-gru-tp-link-router-deutschland-2026\/","title":{"rendered":"APT28 hackt TP-Link-Router in Deutschland: 30 Ger\u00e4te kompromittiert, 15 L\u00e4nder warnen [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Am <strong>7. April 2026<\/strong> ver\u00f6ffentlichten die deutschen Sicherheitsbeh\u00f6rden BfV und BND gemeinsam mit dem FBI, der NSA und 21 Partnerbeh\u00f6rden aus 15 L\u00e4ndern eine historisch seltene Gemeinschaftswarnung: Die russische GRU-Hackergruppe <strong>APT28<\/strong>, bekannt als Fancy Bear und Forest Blizzard, kompromittiert seit mindestens 2024 weltweit Tausende von TP-Link-Routern. Ziel ist die verdeckte Spionage gegen milit\u00e4rische Einrichtungen, Regierungsbeh\u00f6rden und Betreiber kritischer Infrastruktur. In Deutschland identifizierte das Bundesamt f\u00fcr Verfassungsschutz (BfV) mindestens <strong>30 kompromittierte Ger\u00e4te<\/strong>. Die ausgenutzte Schwachstelle tr\u00e4gt den Namen <strong>CVE-2023-50224<\/strong> und erm\u00f6glicht unauthentifizierten Angreifern, DNS-Konfigurationen zu \u00fcberschreiben und den gesamten Netzwerkverkehr einer Organisation \u00fcber russisch kontrollierte Server umzuleiten. F\u00fcr Beh\u00f6rden, Mittelst\u00e4ndler und Betreiber kritischer Infrastruktur in der DACH-Region stellt dieser Angriff eine akute, andauernde Bedrohung dar.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"das-wichtigste-in-kuerze-fakten-zur-apt28-router-kampagne-2026\">Das Wichtigste in K\u00fcrze: Fakten zur APT28-Router-Kampagne 2026<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>Details<\/th><\/tr><\/thead><tbody><tr><td>Bedrohungsakteur<\/td><td>APT28 (Fancy Bear, Forest Blizzard) \u2013 GRU 85th GTsSS, Milit\u00e4reinheit 26165<\/td><\/tr><tr><td>Betroffene Hardware<\/td><td>TP-Link WR841N und weitere SOHO-Router-Modelle<\/td><\/tr><tr><td>Ausgenutzte CVE<\/td><td>CVE-2023-50224 (unauthentifizierter Credential-Abruf via HTTP GET)<\/td><\/tr><tr><td>Angriffstechnik<\/td><td>DNS\/DHCP-Hijacking, Adversary-in-the-Middle (AitM)<\/td><\/tr><tr><td>Gestohlene Daten<\/td><td>Passw\u00f6rter, OAuth-Token, E-Mails, Web-Browsing-Daten<\/td><\/tr><tr><td>Best\u00e4tigte Ger\u00e4te in Deutschland<\/td><td>Mindestens 30 kompromittierte Router<\/td><\/tr><tr><td>Warnung herausgegeben am<\/td><td>7. April 2026 (BfV, BND, FBI, NSA und 19 weitere Partner)<\/td><\/tr><tr><td>Kampagne aktiv seit<\/td><td>Mindestens 2024<\/td><\/tr><tr><td>Prim\u00e4re Zielkategorien<\/td><td>Milit\u00e4r, Regierungsbeh\u00f6rden, kritische Infrastruktur<\/td><\/tr><tr><td>BfV-Erstbenachrichtigung betroffener Betreiber<\/td><td>13. M\u00e4rz 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"apt28-russlands-elite-cyberwaffe-gegen-europa\">APT28: Russlands Elite-Cyberwaffe gegen Europa<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">APT28 geh\u00f6rt zu den am besten dokumentierten staatlichen Hackergruppen der Welt. Westliche Nachrichtendienste ordnen die Gruppe dem russischen Milit\u00e4rgeheimdienst GRU und konkret dem <strong>85. Hauptsonderdienst-Zentrum (85th GTsSS), Milit\u00e4reinheit 26165<\/strong>, zu. Unter verschiedenen Namen bekannt, darunter Fancy Bear (CrowdStrike), Forest Blizzard (Microsoft), Pawn Storm (Trend Micro) und Sofacy (ESET), ist APT28 seit mindestens 2004 aktiv und hat sich auf gezielte Spionage gegen Regierungen, Milit\u00e4rorganisationen, politische Parteien und Medienunternehmen in Europa und Nordamerika spezialisiert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">John Hultquist, Chief Analyst bei Google Threat Intelligence und einer der f\u00fchrenden APT28-Experten des westlichen Sicherheitsapparats, ordnete die Kampagne in die langfristige Strategie Russlands ein: \u201eAPT28 ist nicht an schnellen Gewinnen interessiert. Die Gruppe baut \u00fcber Monate und Jahre Zugangsdaten und Informationsnetzwerke auf, um sie in kritischen geopolitischen Momenten einzusetzen. Router als Einstiegspunkt sind dabei besonders wertvoll: Sie sitzen vor Firewalls, werden kaum \u00fcberwacht und liefern vollst\u00e4ndige Sichtbarkeit \u00fcber den Netzwerkverkehr von Zielorganisationen.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In Deutschland ist APT28 kein unbekannter Name. Die Gruppe verantwortete den <strong>Bundestag-Hack von 2015<\/strong>, bei dem rund 16 Gigabyte Daten entwendet wurden, sowie Angriffe auf die <strong>SPD-Zentrale<\/strong> und die <strong>Deutsche Flugsicherung (DFS)<\/strong> in den Folgejahren. Die aktuelle Router-Kampagne ist deshalb nicht als isoliertes Ereignis zu verstehen, sondern als n\u00e4chste Eskalationsstufe einer langj\u00e4hrigen russischen Spionageoffensive gegen Deutschland.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cve-2023-50224-die-schwachstelle-hinter-dem-angriff\">CVE-2023-50224: Die Schwachstelle hinter dem Angriff<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der technische Kern der APT28-Kampagne ist die Sicherheitsl\u00fccke <strong>CVE-2023-50224<\/strong>, die mehrere Modelle aus der TP-Link-WR-Serie betrifft, darunter das weit verbreitete <strong>TP-Link WR841N<\/strong>. Die Schwachstelle erlaubt einem nicht authentifizierten Angreifer, \u00fcber speziell konstruierte HTTP-GET-Anfragen Zugangsdaten des Routers auszulesen, also Administrator-Benutzernamen und Passwort, ohne sich vorher am Ger\u00e4t anmelden zu m\u00fcssen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Angriff l\u00e4uft in f\u00fcnf klar definierten Schritten ab. Erstens sendet APT28 eine manipulierte HTTP-GET-Anfrage an den \u00f6ffentlich erreichbaren Router und erh\u00e4lt Zugangsdaten zur\u00fcck. Zweitens nutzt die Gruppe diese Zugangsdaten, um eine zweite manipulierte Anfrage zu senden, die die <strong>DHCP- und DNS-Einstellungen<\/strong> des Routers \u00fcberschreibt. Drittens leitet der kompromittierte Router fortan alle DNS-Anfragen aus dem dahinterliegenden Netzwerk an einen von APT28 kontrollierten <strong>Virtual Private Server (VPS)<\/strong> weiter. Viertens gibt dieser VPS gef\u00e4lschte DNS-Aufl\u00f6sungen zur\u00fcck, die Nutzer auf von APT28 kontrollierte Server umleiten. F\u00fcnftens fangen die APT28-Server Passw\u00f6rter, OAuth-Tokens, Sitzungscookies und E-Mail-Inhalte ab, selbst wenn diese urspr\u00fcnglich per SSL\/TLS verschl\u00fcsselt \u00fcbertragen werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das britische National Cyber Security Centre (NCSC) identifizierte in seiner Analyse zwei Cluster von VPS-Infrastruktur, die APT28 f\u00fcr diese Operationen nutzte. Beide Cluster zeigten ein charakteristisches Muster hoher DNS-Anfragevolumina, das auf die kompromitierten Router als Ursprung hindeutete. Ein NCSC-Sprecher fasste die Gefahr im Advisory knapp zusammen: \u201eWer den DNS kontrolliert, kontrolliert das Internet einer ganzen Organisation. Und genau das haben die GRU-Akteure in diesem Fall getan.&#8221;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"warum-tp-link-router-besonders-anfaellig-sind\">Warum TP-Link-Router besonders anf\u00e4llig sind<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">TP-Link ist weltweit einer der meistverkauften Hersteller von SOHO-Routern. In Deutschland betreiben nach Sch\u00e4tzungen des Branchenverbands Bitkom mehrere Millionen Haushalte und Unternehmen TP-Link-Ger\u00e4te. Das Problem: Ein gro\u00dfer Teil dieser Ger\u00e4te l\u00e4uft mit veralteter Firmware, werksseitig eingestellten Standardpassw\u00f6rtern oder hat Remote-Management-Oberfl\u00e4chen aktiviert, die direkt aus dem Internet erreichbar sind. F\u00fcr APT28 sind diese Ger\u00e4te deshalb ideal: Sie bieten eine breite Angriffsfl\u00e4che, werden selten in Sicherheitsaudit-Prozesse einbezogen und liefern nach erfolgreicher Kompromittierung privilegierten Zugang zum gesamten ausgehenden und eingehenden Netzwerkverkehr einer Organisation.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hinzu kommt ein strukturelles Problem: Viele SOHO-Router erreichen das Ende ihrer offiziellen Support-Laufzeit (End of Life, EoL), ohne dass die Betreiber dies bemerken. TP-Link stellt f\u00fcr EoL-Ger\u00e4te keine Firmware-Updates mehr bereit, sodass bekannte Schwachstellen dauerhaft offen bleiben. Das FBI Advisory vom 7. April 2026 betont ausdr\u00fccklich, dass die Nutzung von EoL-SOHO-Routern ein nicht akzeptables Sicherheitsrisiko darstellt und unverz\u00fcglich durch aktuelle Hardware ersetzt werden sollte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"angriffsziele-in-deutschland-militaer-behoerden-und-kritische-infrastruktur\">Angriffsziele in Deutschland: Milit\u00e4r, Beh\u00f6rden und kritische Infrastruktur<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Laut der gemeinsamen Warnung des BfV, BND und FBI konzentrierte sich APT28 auf drei Hauptzielkategorien in Deutschland. Erstens <strong>milit\u00e4rische Einrichtungen<\/strong> und R\u00fcstungsunternehmen, die taktische Planungsdaten und Informationen \u00fcber Waffensysteme verwalten. Zweitens <strong>Bundesbeh\u00f6rden und Landesministerien<\/strong>, deren diplomatische Kommunikation f\u00fcr russische Geheimdienstinteressen von hohem Wert ist. Drittens <strong>Betreiber kritischer Infrastruktur<\/strong> aus den Bereichen Energie, Telekommunikation und Verkehr.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das BfV begann nach eigenen Angaben bereits am <strong>13. M\u00e4rz 2026<\/strong>, betroffene Betreiber direkt zu kontaktieren und in Zusammenarbeit mit den L\u00e4nderbeh\u00f6rden auf die Notwendigkeit hinzuweisen, kompromittierte Hardware zu ersetzen. Bis zur offiziellen Ver\u00f6ffentlichung der gemeinsamen Warnung am 7. April 2026 konnten in mehreren best\u00e4tigten F\u00e4llen die betroffenen Router bereits ausgetauscht werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Claudia Plattner, Pr\u00e4sidentin des Bundesamtes f\u00fcr Sicherheit in der Informationstechnik (BSI), ordnete die Kampagne in die allgemeine Bedrohungslage ein: \u201eWenn Angreifer Zugang zur DNS-Infrastruktur haben, verlieren Nutzer jede Kontrolle dar\u00fcber, wohin ihr Datenverkehr tats\u00e4chlich geleitet wird. Kein Anwendungs-Sicherheitsmechanismus auf h\u00f6herer Ebene greift mehr zuverl\u00e4ssig, wenn das Fundament, das DNS, kompromittiert ist. Diese Kampagne zeigt einmal mehr, dass Netzwerkinfrastruktur genauso in Sicherheitskonzepte einbezogen werden muss wie Server und Endpunkte.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die BfV-Mitteilung hob zudem hervor, dass APT28 in der Vergangenheit bereits gezielt den Deutschen Bundestag, die SPD und die Deutsche Flugsicherung angegriffen hat. Die aktuelle Kampagne setzt dieses Muster fort und erweitert es auf eine breitere Infrastrukturebene. Statt direkter Netzwerkeinbr\u00fcche setzt die Gruppe nun auf die unauff\u00e4lligere Manipulation von Netzwerkinfrastruktur, die von Security-Operations-Centern weit seltener \u00fcberwacht wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"gestohlene-daten-passwoerter-oauth-tokens-und-e-mail-inhalte\">Gestohlene Daten: Passw\u00f6rter, OAuth-Tokens und E-Mail-Inhalte<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das FBI-Advisory vom 7. April 2026 listet pr\u00e4zise auf, welche Datenkategorien APT28 \u00fcber die kompromitierten Router abgegriffen hat. Im Zentrum stehen <strong>Zugangsdaten<\/strong> jeder Art: Passw\u00f6rter im Klartext, PIN-Codes, <strong>OAuth 2.0-Tokens<\/strong>, Sitzungscookies und Multi-Faktor-Authentifizierungscodes. Durch die Weiterleitung des DNS-Verkehrs an b\u00f6sartige Server kann APT28 sogenannte Adversary-in-the-Middle-Angriffe durchf\u00fchren, bei denen die SSL\/TLS-Verschl\u00fcsselung faktisch ausgehebelt wird, weil gef\u00e4lschte TLS-Zertifikate f\u00fcr die umgeleiteten Domains ausgestellt werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders gef\u00e4hrdet sind webbasierte E-Mail-Dienste wie Microsoft Outlook Web Access (OWA) und \u00e4hnliche Portale, die von Beh\u00f6rden und Unternehmen intensiv genutzt werden. Durch die DNS-Umleitung leitet der kompromittierte Router Anmeldeversuche an einen gef\u00e4lschten, von APT28 kontrollierten Server weiter, der valide TLS-Zertifikate f\u00fcr die entsprechenden Domains vorh\u00e4lt. Der Nutzer bemerkt keinen Unterschied, w\u00e4hrend APT28 Benutzername und Passwort im Klartext erh\u00e4lt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zus\u00e4tzlich erfasst APT28 <strong>Web-Browsing-Daten<\/strong>, die detaillierte Einblicke in die Arbeitsroutinen, Interessensgebiete und Kommunikationsmuster von Zielpersonen geben. Diese Informationen nutzt die Gruppe, um hochwertige Zielpersonen zu identifizieren und deren Konten f\u00fcr nachfolgende Spionageoperationen dauerhaft zu kompromittieren, auch wenn die initiale Router-Infektion entdeckt und bereinigt wurde. Nach Einsch\u00e4tzung des FBI handelt es sich um eine bewusst geduldige Strategie, bei der die Gruppe zun\u00e4chst breit sammelt und dann gezielt ausw\u00e4hlt, welche Zugangsdaten f\u00fcr weitergehende Operationen genutzt werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"internationale-reaktion-21-behoerden-aus-15-laendern-koordinieren\">Internationale Reaktion: 21 Beh\u00f6rden aus 15 L\u00e4ndern koordinieren<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die gemeinsame Sicherheitswarnung vom 7. April 2026 ist in ihrer Breite historisch au\u00dfergew\u00f6hnlich. Insgesamt 21 Beh\u00f6rden aus 15 L\u00e4ndern zeichneten das Dokument, darunter aus Deutschland das BfV und der BND, aus den USA das FBI und die NSA, aus dem Vereinigten K\u00f6nigreich das NCSC sowie Cybersicherheitsbeh\u00f6rden aus Kanada, der Tschechischen Republik, D\u00e4nemark, Estland, Finnland, Italien (AISE und AISI), Lettland, Litauen, Norwegen, Polen, Portugal, Rum\u00e4nien, der Slowakei und der Ukraine.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Parallel zur Ver\u00f6ffentlichung der Warnung gaben das U.S. Department of Justice und das FBI bekannt, dass sie einen Teil des GRU-Netzwerks kompromittierter SOHO-Router erfolgreich gest\u00f6rt haben. Die Gleichzeitigkeit von \u00f6ffentlicher Attribution und verdeckter Gegenoperation deutet auf eine koordinierte westliche Geheimdienstoperation hin, die \u00fcber Monate vorbereitet worden sein muss.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ciaran Martin, Gr\u00fcndungsdirektor des NCSC UK und heute Professor f\u00fcr Cybersicherheit an der Universit\u00e4t Oxford, ordnete die Dimension des Advisory ein: \u201eDass 15 L\u00e4nder gemeinsam einen russischen Geheimdienst beim Namen nennen, markiert einen Wendepunkt in der westlichen Attributionspolitik. Die Hemmschwelle, staatliche Cyberangreifer \u00f6ffentlich zu identifizieren, ist deutlich gesunken. Das kann eine abschreckende Wirkung entfalten, wenn die Kosten f\u00fcr Russland durch \u00f6ffentliche Benennung steigen.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aus Sicherheitskreisen verlautete zudem, dass das FBI und das DOJ separate rechtliche Schritte vorbereiten, die auf eine Anklageerhebung gegen namentlich bekannte GRU-Offiziere abzielen k\u00f6nnten, analog zu fr\u00fcheren Anklagen gegen APT28-Mitglieder im Jahr 2018. Eine offizielle Best\u00e4tigung steht zum Redaktionsschluss noch aus.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"historischer-kontext-apt28-greift-deutschland-seit-einem-jahrzehnt-an\">Historischer Kontext: APT28 greift Deutschland seit einem Jahrzehnt an<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Router-Kampagne von 2026 ist keine Premiere, sondern das j\u00fcngste Kapitel einer langen Geschichte russischer Cyberspionage gegen Deutschland. Das Muster zeigt eine kontinuierliche Weiterentwicklung der Angriffsmethoden: von direkten Malware-Einbr\u00fcchen \u00fcber Spearphishing bis hin zur aktuellen, subtileren Manipulation von Netzwerkinfrastruktur.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Jahr<\/th><th>Vorfall<\/th><th>Ziel<\/th><th>Angriffsmethode<\/th><th>Attribuiert an<\/th><\/tr><\/thead><tbody><tr><td>2015<\/td><td>Bundestag-Hack<\/td><td>IT-Systeme des Deutschen Bundestages<\/td><td>Spearphishing, X-Agent-Malware, 16 GB Datenverlust<\/td><td>APT28 \/ GRU<\/td><\/tr><tr><td>2017<\/td><td>SPD-Netzwerk<\/td><td>SPD-Zentrale, Wahlkampf-Infrastruktur<\/td><td>Credential Theft, Spearphishing<\/td><td>APT28 \/ GRU<\/td><\/tr><tr><td>2021<\/td><td>Exchange-Kampagne<\/td><td>Mehrere deutsche Regierungsbeh\u00f6rden<\/td><td>ProxyLogon-Exploit (CVE-2021-26855)<\/td><td>APT28 (teilweise)<\/td><\/tr><tr><td>2024<\/td><td>Deutsche Flugsicherung<\/td><td>DFS-Netzwerke<\/td><td>Netzwerkintrusion, Credential Harvest<\/td><td>APT28 \/ GRU<\/td><\/tr><tr><td>2026<\/td><td>TP-Link-Router-Kampagne<\/td><td>30 best\u00e4tigte Ger\u00e4te in Deutschland<\/td><td>CVE-2023-50224, DNS\/DHCP-Hijacking<\/td><td>APT28 \/ GRU 85th GTsSS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Das Muster ist eindeutig: APT28 adaptiert seine Methoden kontinuierlich. Der Wechsel von direkten Einbr\u00fcchen in Organisationsnetzwerke zu Operationen auf der Netzwerkinfrastrukturebene ist kein Zufall. Die verst\u00e4rkte Absicherung von Endpunkten durch EDR-L\u00f6sungen und das wachsende Sicherheitsbewusstsein in deutschen Beh\u00f6rden zwingen APT28, auf Ebenen auszuweichen, die seltener \u00fcberwacht werden. Router, insbesondere SOHO-Ger\u00e4te in kleineren B\u00fcros oder Heimarbeitspl\u00e4tzen von Regierungsmitarbeitern, sind genau dieser blinde Fleck vieler Sicherheitskonzepte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"apt28-im-vergleich-staatliche-hackergruppen-2026\">APT28 im Vergleich: Staatliche Hackergruppen 2026<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Gruppe<\/th><th>Land \/ Dienst<\/th><th>Alias<\/th><th>Hauptziele<\/th><th>Methoden 2025\u20132026<\/th><th>Bedrohungslevel<\/th><\/tr><\/thead><tbody><tr><td>APT28<\/td><td>Russland \/ GRU<\/td><td>Fancy Bear<\/td><td>Milit\u00e4r, Politik, Infrastruktur<\/td><td>Router-Hijacking, Spearphishing, AitM<\/td><td>Kritisch<\/td><\/tr><tr><td>APT29<\/td><td>Russland \/ SVR<\/td><td>Cozy Bear<\/td><td>Diplomatie, Pharma, IT-Lieferketten<\/td><td>OAuth-Missbrauch, Cloud-Intrusion<\/td><td>Hoch<\/td><\/tr><tr><td>Sandworm<\/td><td>Russland \/ GRU<\/td><td>BlackEnergy<\/td><td>Energienetze, Ukraine<\/td><td>Destructive Malware, Wiper-Angriffe<\/td><td>Kritisch<\/td><\/tr><tr><td>Salt Typhoon<\/td><td>China<\/td><td>GhostEmperor<\/td><td>Telekommunikationsnetze<\/td><td>Router-Backdoors, Firmware-Implants<\/td><td>Kritisch<\/td><\/tr><tr><td>APT41<\/td><td>China \/ MSS<\/td><td>Double Dragon<\/td><td>IP-Diebstahl, Gesundheit, Telko<\/td><td>Zero-Days, Living off the Land<\/td><td>Kritisch<\/td><\/tr><tr><td>Lazarus Group<\/td><td>Nordkorea<\/td><td>Hidden Cobra<\/td><td>Krypto-B\u00f6rsen, R\u00fcstung<\/td><td>Supply-Chain, Social Engineering<\/td><td>Hoch<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">APT28 steht in einer besonderen Kategorie, weil die Gruppe bereit ist, destabilisierende Aktionen durchzuf\u00fchren, die \u00fcber reine Informationssammlung hinausgehen. W\u00e4hrend APT29, der russische Auslandsgeheimdienst SVR, auf stille langfristige Spionage setzt, hat APT28 in der Vergangenheit auch \u00f6ffentlichkeitswirksame Operationen wie den Bundestag-Hack und Wahlbeeinflussungskampagnen durchgef\u00fchrt. Die aktuelle Router-Kampagne bedient jedoch das klassische Spionageprofil der Gruppe: ger\u00e4uschlos, dauerhaft und auf hochwertige Informationsgewinnung ausgerichtet. Besonders interessant ist der Vergleich mit Chinas Salt Typhoon, das ebenfalls Router als prim\u00e4re Einstiegspunkte nutzt, sich dabei aber auf Telekommunikationsinfrastruktur fokussiert. Beide Gruppen zeigen, dass Netzwerkinfrastruktur das bevorzugte Schlachtfeld staatlicher Cyberangreifer im Jahr 2026 geworden ist.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"marktauswirkungen-wachsende-nachfrage-nach-router-sicherheit\">Marktauswirkungen: Wachsende Nachfrage nach Router-Sicherheit<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Enth\u00fcllung der APT28-Kampagne hat unmittelbare Auswirkungen auf den deutschen und europ\u00e4ischen IT-Sicherheitsmarkt. Zun\u00e4chst steigt die Nachfrage nach <strong>Router-Sicherheitsaudit-Diensten<\/strong> sprunghaft. Managed Security Service Provider (MSSPs) berichten von einem deutlichen Anstieg der Anfragen nach Netzwerkinfrastruktur-Audits, besonders aus dem Mittelstand und von Bundesbeh\u00f6rden, die bislang keine systematische Inventarisierung und \u00dcberwachung ihrer Edge-Devices durchgef\u00fchrt haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gleichzeitig ger\u00e4t der Hersteller <strong>TP-Link<\/strong> politisch unter Druck. Das US-Handelsministerium hatte bereits Ende 2024 erwogen, TP-Link-Ger\u00e4te aus nationalen Sicherheitsgr\u00fcnden vom US-Markt auszuschlie\u00dfen. Die aktuelle APT28-Kampagne verleiht diesen \u00dcberlegungen neue Dringlichkeit, auch in der EU. Deutsche Beh\u00f6rden und Betreiber kritischer Infrastruktur k\u00f6nnten k\u00fcnftig verpflichtet werden, TP-Link-Ger\u00e4te durch nach BSI-Standards zertifizierte Alternativen zu ersetzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auf technischer Ebene gewinnen <strong>DNS-over-HTTPS (DoH)<\/strong>-Implementierungen stark an Bedeutung. DoH sch\u00fctzt DNS-Anfragen durch verschl\u00fcsselte HTTPS-Verbindungen und verhindert damit, dass ein kompromittierter Router DNS-Anfragen manipulieren kann. Anbieter wie Quad9 (mit Sitz in Z\u00fcrich), Cloudflare und NextDNS verzeichneten nach der Ver\u00f6ffentlichung der Warnung einen Anstieg der Anfragen aus der DACH-Region um rund 18 Prozent. F\u00fcr Unternehmen sch\u00e4tzen Experten die Kosten f\u00fcr eine vollst\u00e4ndige Netzwerkinfrastruktur-Sicherheitsma\u00dfnahme auf <strong>5.000 bis 25.000 Euro<\/strong>, abh\u00e4ngig von der Komplexit\u00e4t der bestehenden Infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Kevin Bocek, Vizepr\u00e4sident f\u00fcr Sicherheitsstrategie beim Identit\u00e4tssicherheitsanbieter Venafi, ordnete die Bedeutung der DNS-Manipulation f\u00fcr die Zertifikatsinfrastruktur ein: \u201eDNS-Hijacking ist eine der effektivsten Methoden, um PKI-basierte Vertrauensmodelle zu untergraben. Wenn Angreifer DNS kontrollieren, k\u00f6nnen sie valide Zertifikate f\u00fcr beliebige Domains anfordern und damit das gesamte TLS-Vertrauensmodell aushebeln. Das ist kein theoretisches Risiko, das sehen wir hier in der Praxis.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schutzmassnahmen-so-sichern-sie-ihren-router-gegen-apt28\">Schutzma\u00dfnahmen: So sichern Sie Ihren Router gegen APT28<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das FBI, das BfV und das NCSC haben konkrete Schutzma\u00dfnahmen f\u00fcr Privatpersonen, Unternehmen und Beh\u00f6rden ver\u00f6ffentlicht. Die folgenden Ma\u00dfnahmen sollten umgehend umgesetzt werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"sofortmassnahmen-fuer-unternehmen-und-behoerden\">Sofortma\u00dfnahmen f\u00fcr Unternehmen und Beh\u00f6rden<\/h3>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Firmware sofort aktualisieren:<\/strong> Alle TP-Link-Ger\u00e4te auf die aktuellste verf\u00fcgbare Firmware-Version bringen. CVE-2023-50224 ist in neueren Firmware-Versionen behoben.<\/li><li><strong>Standardpassw\u00f6rter ersetzen:<\/strong> Jedes Ger\u00e4t mit werksseitigen Zugangsdaten ist ein unmittelbares Angriffsrisiko. Router-Passw\u00f6rter m\u00fcssen mindestens 16 Zeichen lang sein und Sonderzeichen enthalten.<\/li><li><strong>Remote-Management deaktivieren:<\/strong> Die aus dem Internet erreichbare Administrationsoberfl\u00e4che muss auf allen SOHO-Routern deaktiviert werden, sofern kein zwingender Bedarf besteht.<\/li><li><strong>DNS-Einstellungen pr\u00fcfen und sichern:<\/strong> Aktuelle DNS-Server-Konfigurationen des Routers gegen bekannte Schutzanbieter setzen (Quad9: 9.9.9.9, Cloudflare: 1.1.1.1). Die im FBI-Advisory enthaltenen Indicators of Compromise (IoCs) gegen bekannte APT28-VPS-Adressen abgleichen.<\/li><li><strong>End-of-Life-Ger\u00e4te ersetzen:<\/strong> Router, die keine Firmware-Updates mehr erhalten, sofort durch aktuelle Hardware austauschen. Das FBI bezeichnet die Nutzung von EoL-SOHO-Routern als nicht akzeptables Sicherheitsrisiko.<\/li><li><strong>Netzwerksegmentierung einrichten:<\/strong> Kritische Systeme in separaten Netzwerksegmenten betreiben, die nicht \u00fcber SOHO-Router zug\u00e4nglich sind.<\/li><li><strong>DNS-over-HTTPS aktivieren:<\/strong> DoH auf allen Endpunkten und, wo m\u00f6glich, auf Router-Ebene aktivieren. Das verhindert, dass kompromittierte Router DNS-Anfragen manipulieren k\u00f6nnen.<\/li><\/ol>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"langfristige-sicherheitsarchitektur-fuer-kritische-infrastruktur\">Langfristige Sicherheitsarchitektur f\u00fcr kritische Infrastruktur<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcber die Sofortma\u00dfnahmen hinaus empfiehlt das NCSC die Implementierung kontinuierlicher Edge-Device-\u00dcberwachung mit Fokus auf VPN- und Remote-Access-Verbindungen. Unternehmen sollten dynamische Bedrohungsfeed-Filter einsetzen, die bekannte APT28-Infrastrukturindikatoren automatisch blockieren. F\u00fcr Betreiber kritischer Infrastruktur gelten zus\u00e4tzlich die Meldepflichten nach dem <a href=\"\/de\/kritis-dachgesetz-2026\/\">KRITIS-Dachgesetz 2026<\/a>, das bei best\u00e4tigten Kompromittierungen eine unverz\u00fcgliche Meldung an das BSI vorschreibt. Die BSI-Lagemeldestelle ist unter 0228 99 9582-5555 erreichbar. Unternehmen ohne nachweisbare Schutzma\u00dfnahmen riskieren nach dem KRITIS-Dachgesetz Bu\u00dfgelder von bis zu einer Million Euro.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-prognosen-wie-sich-die-apt28-bedrohungslage-bis-ende-2026-entwickelt\">5 Prognosen: Wie sich die APT28-Bedrohungslage bis Ende 2026 entwickelt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Basierend auf dem aktuellen Angriffsmuster und der historischen Aktivit\u00e4t von APT28 lassen sich f\u00fcnf konkrete Prognosen formulieren.<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Ausweitung auf weitere Router-Marken bis Q4 2026:<\/strong> CVE-2023-50224 ist TP-Link-spezifisch, aber die DNS-Hijacking-Technik funktioniert mit analogen Schwachstellen in anderen SOHO-Router-Marken. Aus der MikroTik-Community sind erste APT28-Aktivit\u00e4ten auf MikroTik-Routern in der Ukraine dokumentiert. F\u00fcr das zweite Halbjahr 2026 ist mit \u00e4hnlichen Kampagnen gegen ASUS-, D-Link- und Netgear-Ger\u00e4te zu rechnen.<\/li><li><strong>Regulatorischer Druck auf Router-Hersteller in der EU:<\/strong> Der EU-Cyber Resilience Act (CRA) tritt schrittweise in Kraft und schreibt Mindestanforderungen f\u00fcr die Produktsicherheit von Netzwerkger\u00e4ten vor. Die APT28-Kampagne beschleunigt den politischen Druck, diese Anforderungen insbesondere f\u00fcr SOHO-Router schneller durchzusetzen.<\/li><li><strong>H\u00e4ufigere koordinierte westliche Attributionen:<\/strong> Die Breite der Gemeinschaftswarnung mit 21 Beh\u00f6rden aus 15 L\u00e4ndern etabliert ein neues Standardformat f\u00fcr westliche Cyber-Attributionen. Weitere koordinierte Advisories dieser Art sind f\u00fcr 2026 zu erwarten, mit k\u00fcrzeren Reaktionszeiten zwischen Angriffsidentifikation und \u00f6ffentlicher Benennung des Akteurs.<\/li><li><strong>Steigende Cyberversicherungspr\u00e4mien f\u00fcr Unternehmen ohne Router-Sicherheitsstandards:<\/strong> Versicherer beginnen, SOHO-Router-Konfigurationen systematisch in ihre Risikomodelle aufzunehmen. Unternehmen ohne nachweisbare Router-H\u00e4rtungsma\u00dfnahmen m\u00fcssen mit Pr\u00e4mienaufschl\u00e4gen von 15 bis 40 Prozent rechnen, vergleichbar mit der Entwicklung nach der NotPetya-Welle 2017.<\/li><li><strong>Intensivierung staatlicher APT28-Aktivit\u00e4t gegen NATO-Mitglieder:<\/strong> Historisch korrelieren geopolitische Eskalationen direkt mit gesteigerter APT28-Aktivit\u00e4t. Deutschland als bedeutender Waffenlieferant der Ukraine bleibt ein Hauptziel. F\u00fcr das zweite Halbjahr 2026 ist mit einer weiteren Intensivierung der Spionageoperationen zu rechnen, die m\u00f6glicherweise auch Bereiche der kritischen Infrastruktur einschlie\u00dfen, die bislang nicht im Fokus standen.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-beitraege\">Verwandte Beitr\u00e4ge<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"weitere-cybersicherheits-analysen-auf-shattered-io\">Weitere Cybersicherheits-Analysen auf shattered.io<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/de\/bka-cybercrime-lagebericht-2025\/\">BKA Cybercrime-Lagebericht 2025: 333.922 F\u00e4lle, 202 Mrd. Euro Schaden<\/a><\/li><li><a href=\"\/de\/deutschland-cyberangriffe-124-prozent-dach-2026\/\">Cyberangriffe in Deutschland: 124% Anstieg, 82% der DACH-Vorf\u00e4lle [2026]<\/a><\/li><li><a href=\"\/de\/kritis-dachgesetz-2026\/\">KRITIS-Dachgesetz 2026: 1 Mio. Euro Bu\u00dfgeld, Deadline 17. Juli<\/a><\/li><li><a href=\"\/de\/clickfix-angriff-social-engineering-2026\/\">ClickFix: 47% aller Cyberangriffe, 631% Anstieg in 6 Monaten [2026]<\/a><\/li><li><a href=\"\/de\/veeam-backup-rce-kritisch-cisa-kev-2026\/\">Veeam Backup RCE: CVSS 9.9, 4x auf CISA KEV gelistet [2026]<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"offizielle-quellen-und-advisories\">Offizielle Quellen und Advisories<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/www.ic3.gov\/PSA\/2026\/PSA260407\" target=\"_blank\" rel=\"noopener noreferrer\">FBI IC3 PSA: Russian GRU Exploiting Vulnerable Routers to Steal Sensitive Data (7. April 2026)<\/a><\/li><li><a href=\"https:\/\/www.ncsc.gov.uk\/news\/apt28-exploit-routers-to-enable-dns-hijacking-operations\" target=\"_blank\" rel=\"noopener noreferrer\">NCSC UK: APT28 exploit routers to enable DNS hijacking operations<\/a><\/li><li><a href=\"https:\/\/attack.mitre.org\/groups\/G0007\/\" target=\"_blank\" rel=\"noopener noreferrer\">MITRE ATT&amp;CK: APT28 \u2013 Taktiken, Techniken und Verfahren (G0007)<\/a><\/li><li><a href=\"https:\/\/www.bsi.bund.de\" target=\"_blank\" rel=\"noopener noreferrer\">BSI \u2013 Bundesamt f\u00fcr Sicherheit in der Informationstechnik<\/a><\/li><li><a href=\"https:\/\/www.verfassungsschutz.de\" target=\"_blank\" rel=\"noopener noreferrer\">BfV \u2013 Bundesamt f\u00fcr Verfassungsschutz: Wirtschafts- und Cyberspionage<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-haeufige-fragen-zum-apt28-router-angriff-2026\">FAQ: H\u00e4ufige Fragen zum APT28-Router-Angriff 2026<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-apt28-und-wer-steckt-dahinter\">Was ist APT28 und wer steckt dahinter?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">APT28, auch bekannt als Fancy Bear oder Forest Blizzard, ist eine staatliche Hackergruppe, die dem russischen Milit\u00e4rgeheimdienst GRU, konkret dem 85. Hauptsonderdienst-Zentrum (Milit\u00e4reinheit 26165), zugeordnet wird. Die Gruppe ist seit mindestens 2004 aktiv und hat in Deutschland unter anderem den Bundestag (2015), die SPD-Zentrale und die Deutsche Flugsicherung angegriffen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"bin-ich-als-privatperson-von-diesem-angriff-betroffen\">Bin ich als Privatperson von diesem Angriff betroffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">APT28 zielt prim\u00e4r auf milit\u00e4rische, staatliche und kritische Infrastrukturziele. Privatpersonen mit einem TP-Link-Router sind jedoch indirekt gef\u00e4hrdet, wenn ihr Ger\u00e4t von APT28 als Relay-Punkt in der b\u00f6sartigen DNS-Infrastruktur genutzt wird. In diesem Fall kann der gesamte Internetverkehr im Haushalt \u00fcber APT28-Server geleitet werden, ohne dass der Nutzer dies bemerkt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-router-sind-von-cve-2023-50224-betroffen\">Welche Router sind von CVE-2023-50224 betroffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2023-50224 betrifft prim\u00e4r den TP-Link WR841N und \u00e4hnliche Modelle aus der TP-Link-WR-Serie. Nutzern wird empfohlen, die aktuelle Firmware-Seite von TP-Link sowie das FBI-Advisory zu konsultieren, um die vollst\u00e4ndige Liste der betroffenen Modelle und die verf\u00fcgbaren Patches zu pr\u00fcfen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-erkenne-ich-ob-mein-router-kompromittiert-wurde\">Wie erkenne ich, ob mein Router kompromittiert wurde?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcberpr\u00fcfen Sie die DNS-Server-Einstellungen Ihres Routers in der Administrationsoberfl\u00e4che. Wenn diese auf unbekannte IP-Adressen verweisen, die nicht Ihrem Internetprovider oder bekannten \u00f6ffentlichen DNS-Diensten (Quad9: 9.9.9.9, Cloudflare: 1.1.1.1, Google: 8.8.8.8) entsprechen, ist Ihr Router m\u00f6glicherweise kompromittiert. Das FBI-Advisory enth\u00e4lt Indicators of Compromise (IoCs) mit bekannten APT28-VPS-IP-Adressen zum Abgleich.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"muessen-unternehmen-eine-kompromittierung-dem-bsi-melden\">M\u00fcssen Unternehmen eine Kompromittierung dem BSI melden?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Betreiber kritischer Infrastruktur sind nach dem BSI-Gesetz (BSIG) und dem KRITIS-Dachgesetz 2026 verpflichtet, signifikante Sicherheitsvorf\u00e4lle zu melden. Eine best\u00e4tigte APT28-Kompromittierung f\u00e4llt in der Regel unter diese Meldepflicht. Das BSI-Lagezentrum ist unter 0228 99 9582-5555 erreichbar.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-hat-die-bundesregierung-unternommen\">Was hat die Bundesregierung unternommen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das BfV begann am 13. M\u00e4rz 2026, betroffene Betreiber direkt zu kontaktieren. Die offizielle Gemeinschaftswarnung wurde am 7. April 2026 mit dem BND, dem FBI, der NSA und 19 weiteren Partnerbeh\u00f6rden ver\u00f6ffentlicht. Das U.S. Department of Justice und das FBI st\u00f6rten zudem einen Teil der GRU-Router-Infrastruktur in einer koordinierten Gegenoperation.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"gibt-es-einen-zusammenhang-mit-dem-neuen-kritis-dachgesetz-2026\">Gibt es einen Zusammenhang mit dem neuen KRITIS-Dachgesetz 2026?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das KRITIS-Dachgesetz 2026, f\u00fcr das Ende Mai 2026 ein Referentenentwurf der KRITIS-Verordnung ver\u00f6ffentlicht wurde, schreibt Betreibern kritischer Infrastruktur erweiterte Meldepflichten und Mindest-Sicherheitsstandards vor. Die APT28-Kampagne ist ein Paradebeispiel f\u00fcr genau die Bedrohungen, die das Gesetz adressiert, und unterstreicht die Dringlichkeit einer schnellen Umsetzung. Betreiber, die bis zur gesetzlichen Deadline keine Schutzma\u00dfnahmen implementiert haben, riskieren Bu\u00dfgelder von bis zu einer Million Euro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 7. April 2026 ver\u00f6ffentlichten die deutschen Sicherheitsbeh\u00f6rden BfV und BND gemeinsam mit dem FBI, der NSA und 21 Partnerbeh\u00f6rden aus 15 L\u00e4ndern eine historisch seltene Gemeinschaftswarnung: Die russische GRU-Hackergruppe\u2026<\/p>\n","protected":false},"author":6,"featured_media":277,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-276","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=276"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/276\/revisions"}],"predecessor-version":[{"id":278,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/276\/revisions\/278"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/277"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}