APT28 nutzt frische Microsoft-Lücke für Angriffe auf Osteuropa
05.02.2026 - 08:43:12
Die russlandnahe Hackergruppe APT28 nutzt eine erst kürzlich geschlossene Sicherheitslücke in Microsoft Office bereits aktiv aus. Ihre gezielten Angriffe auf osteuropäische Behörden zeigen, wie schnell staatliche Akteure neue Schwachstellen für Spionagezwecke instrumentalisieren.
Kritische Schwachstelle wird zur Waffe
Sicherheitsexperten schlagen Alarm: Die mit dem russischen Militärgeheimdienst in Verbindung gebrachte Gruppe APT28 (auch bekannt als Fancy Bear) missbraucht eine frische Sicherheitslücke in Microsoft Office. Die unter CVE-2026-21509 geführte Schwachstelle war Ende Januar 2026 öffentlich gemacht und von Microsoft mit einem Notfall-Patch geschlossen worden. Trotzdem begannen die Angreifer sofort, die Lücke systematisch auszunutzen. Dieser Vorfall unterstreicht das gefährliche Zeitfenster zwischen Patch-Veröffentlichung und flächendeckender Installation – ein Fenster, das Angreifer gezielt aufstoßen.
Gezielte Phishing-Kampagne gegen Behörden
Die aktuelle Kampagne, von Forschern „Operation Neusploit“ getauft, zielt vornehmlich auf Einrichtungen in der Ukraine, der Slowakei und Rumänien ab. Die Methode ist klassisch, aber wirkungsvoll: gezieltes Phishing. Mitarbeiter von Regierungsstellen erhalten täuschend echte E-Mails mit präparierten RTF- oder Word-Dokumenten. Die Dateinamen sind geschickt auf den Zielkreis zugeschnitten und behandeln etwa „EU COREPER-Konsultationen in der Ukraine“. Das ukrainische CERT-UA und das Sicherheitsunternehmen Zscaler konnten die Angriffe früh analysieren und APT28 mit hoher Sicherheit als Urheber identifizieren.
Diese Phishing‑Masche mit präparierten Word‑Dateien und gezielten Outlook‑Angriffen zeigt, wie schnell Angreifer Erfolg haben. Das kostenlose Anti‑Phishing‑Paket erklärt in vier konkreten Schritten, wie Sie Mitarbeiter sensibilisieren, gefälschte Mails erkennen und Secure‑Email‑Gateways effektiv einsetzen – inklusive Checklisten für Behörden und Unternehmen. Der Leitfaden beschreibt außerdem typische CEO‑Fraud‑Beispiele und sofort umsetzbare Präventivmaßnahmen, mit denen Sie Postfächer und sensible Daten proaktiv schützen. Anti‑Phishing‑Paket kostenlos herunterladen
So funktioniert der mehrstufige Angriff
Öffnet ein ahnungsloser Nutzer das infizierte Dokument, nutzt der Exploit die Schwachstelle aus, um ohne weitere Interaktion bösartigen Code auszuführen. Die Forscher identifizierten zwei Schadsoftware-Varianten:
* „MiniDoor“: Ein Datendieb, der speziell E-Mails aus Microsoft Outlook-Postfächern stiehlt und an die Angreifer weiterleitet.
* „PixyNetLoader“: Ein komplexer Downloader, der weitere Schadprogramme nachlädt – darunter eine Backdoor, die den Hackern dauerhaften Zugriff auf das kompromittierte System verschafft.
Wettlauf gegen die Zeit: Nur drei Tage bis zum ersten Angriff
Der Vorfall verdeutlicht eine besorgniserregende Beschleunigung in der Cyberspionage. Staatlich unterstützte Gruppen überwachen Sicherheitsveröffentlichungen genau und entwickeln blitzschnell funktionsfähige Exploits. Berichten zufolge wurde die Schadsoftware für diese Kampagne nur einen Tag nach der öffentlichen Bekanntmachung der Lücke erstellt. Die ersten aktiven Angriffe wurden am 29. Januar 2026 beobachtet – lediglich drei Tage nach Veröffentlichung des Patches. Dieser extrem kurze Zeitrahmen stellt IT-Abteilungen weltweit vor enorme Herausforderungen. Die Komplexität des Exploits deutet zudem darauf hin, dass er vor allem für ressourcenstarke Akteure interessant ist, die gezielte Spionage betreiben.
Was jetzt zu tun ist: Kein Raum für Verzögerungen
Für Unternehmen und Behörden ist die Handlungsanweisung klar: Das von Microsoft bereitgestellte Sicherheitsupdate für CVE-2026-21509 muss umgehend installiert werden, sofern noch nicht geschehen. Die Geschwindigkeit von APT28 lässt keinen Spielraum. Experten raten parallel dazu, die Sensibilisierung der Mitarbeiter für Phishing zu verstärken und technische Schutzmaßnahmen wie Secure-Email-Gateways zu überprüfen. Die Angreifer passen ihre Lockmittel laufend an aktuelle geopolitische Themen an. Es ist zu erwarten, dass APT28 und ähnliche Gruppen ihre Strategie der schnellen Schwachstellenausnutzung beibehalten werden.
