Auf den Punkt: Russischer Militärgeheimdienst kompromittierte über 18.000 veraltete Router durch DNS-Manipulationen, um Microsoft-Office-Tokens zu stehlen. Ziel waren vor allem Regierungsorganisationen weltweit. Keine Malware nötig – nur bekannte Sicherheitslücken ausgenutzt.
Sicherheitsforscher warnen vor einer raffiniert orchestrierten Spionagekampagne russischer Militärgeheimdienste. Die Hacker nutzen Sicherheitslücken in veralteten Internet-Routern, um unbemerkt Authentifizierungstoken von Microsoft-Office-Nutzern zu stehlen.
Eine russische Hackergruppe, die mit dem GRU-Militärgeheimdienst verbunden ist, hat es geschafft, Authentication-Tokens von Microsoft-Office-Nutzern in großem Stil zu entwenden. Microsoft berichtete heute, dass die Sicherheitsexperten über 200 Organisationen und 5.000 Privatgeräte identifiziert haben, die durch die Spionageoperation der als “Forest Blizzard” bekannten Gruppe kompromittiert wurden. Forest Blizzard, auch unter den Namen APT28 und Fancy Bear bekannt, machte 2016 Schlagzeilen durch Hacks gegen die Hillary-Clinton-Kampagne, das Demokratische Nationalkomitee und das Demokratische Kongresswahlkomitee.
Das Ausmaß der Attacke ist beachtlich: Forscher des Sicherheitsunternehmens Black Lotus Labs dokumentierten, dass die Hacker im Dezember 2025 über 18.000 Internet-Router kompromittierten – überwiegend veraltete, nicht mehr unterstützte Geräte von Herstellern wie Mikrotik und TP-Link, die für kleine Büros und Privatnutzer konzipiert sind.
Die Angreifer setzten dabei auf eine elegante und unauffällige Methode: Statt Malware einzuschleusen, manipulierten sie die DNS-Einstellungen der Router und integrierten eigene Server. Dadurch konnten sie gezielt DNS-Anfragen umleiten und Nutzer auf gefälschte Websites umlenken. Laut den Analysen konzentrierte sich die Operation hauptsächlich auf staatliche Institutionen wie Außenministerien, Strafverfolgungsbehörden und externe E-Mail-Dienste.