Die russische Hackergruppe APT28 hat ihre Aktivitäten massiv ausgeweitet und greift mit zwei koordinierten Kampagnen Ziele in der Ukraine, NATO-Staaten und weltweit an. Im Fokus stehen handelsübliche Router und ausgeklügelte Schadsoftware.
FrostArmada: 18.000 Router in 120 Ländern gekapert
Die als FrostArmada bekannte Operation hat nach Erkenntnissen von Cybersicherheitsforschern mehr als 18.000 IP-Adressen in über 120 Ländern kompromittiert. Die Angreifer nutzen eine Methode namens DNS-Hijacking – sie übernehmen die Kontrolle über Router der Hersteller MikroTik und TP-Link und leiten den Datenverkehr der Nutzer um.
Das Ziel: sensible Daten abfangen oder ahnungslose User auf manipulierte Webseiten locken. Experten sehen darin einen gefährlichen Trend: Immer häufiger werden Router und andere Netzwerkgeräte am Rand des Internets zur ersten Einfallspforte für Angreifer.
Als konkrete Indikatoren für eine Kompromittierung nennen die Forscher die Domain wellnesscaremed.com sowie die IP-Adressen 64.120.31.96 und 79.141.160.78.
PRISMEX: Schadsoftware mit Zero-Day-Lücken
Parallel dazu setzt APT28 auf Spear-Phishing – gezielte E-Mail-Angriffe auf Regierungsstellen und Militär in der Ukraine sowie NATO-Mitgliedsstaaten. Damit schleusen die Hacker die Schadsoftware PRISMEX ein, ein Werkzeug zur langfristigen Spionage und Systemkontrolle.
Besonders brisant: Die Angreifer nutzen gleich zwei sogenannte Zero-Day-Lücken aus, die erst kürzlich bekannt wurden. Die erste Schwachstelle (CVE-2026-21509) steckt in Microsoft Office und hat einen CVSS-Schweregrad von 7,8. Die zweite (CVE-2026-21513) betrifft Microsoft Windows direkt – mit einem Wert von 8,8 gilt sie als hochkritisch. Beide erlauben es den Angreifern, Code auszuführen und erweiterte Systemrechte zu erlangen.
Mehr als 18.000 Router in 120 Ländern wurden bereits von APT28 gekapert – und die Angreifer nutzen Zero-Day-Lücken in Office und Windows. Ihr Netzwerk könnte das nächste Ziel sein. Dieser kostenlose Report liefert Ihnen eine konkrete Checkliste zur Router-Härtung, einen Notfallplan für Zero-Day-Exploits und ein Tool zur Erkennung von DNS-Hijacking. Jetzt kostenlosen Sicherheits-Report anfordern
Tenda-Router: Hintertür ohne Patch
Die aktuellen Angriffe sind nur die Spitze des Eisbergs. Erst Anfang Juli 2026 warnten Sicherheitsexperten vor einer undokumentierten Hintertür in Tenda-Routern (CVE-2026-11405). Betroffen sind die Modelle FH1201, W15E, AC10, AC5 und AC6. Ein verstecktes Administrationspasswort ermöglicht Angreifern die vollständige Kontrolle über das Gerät – ein Patch existiert bis heute nicht.
Ubiquiti schließt kritische Lücken
Der Netzwerkausrüster Ubiquiti hat zeitgleich Patches für mehrere schwere Sicherheitslücken in seiner UniFi-Software veröffentlicht. Die gefährlichste (CVE-2026-50746) ist eine Befehlseinschleusung in der UniFi-Connect-Anwendung – mit einem maximalen CVSS-Wert von 10,0. Die US-Sicherheitsbehörde CISA warnte bereits, dass russische Akteure frühere UniFi-Lücken für das MooBot-Botnetz genutzt hatten, bevor dieses Anfang 2024 zerschlagen wurde.
Neue Bedrohungen: Proxy-Netzwerke und Datenlöscher
Die Tenda-Router-Hintertür (CVE-2026-11405) bleibt ungepatcht – Angreifer können vollständige Kontrolle übernehmen. Prüfen Sie, ob Ihre Geräte betroffen sind, und erfahren Sie, wie Sie sich mit unserem Report vor DNS-Hijacking und Zero-Day-Angriffen schützen. Sicherheits-Report mit Router-Checkliste jetzt sichern
Doch nicht nur APT28 ist aktiv. Die als „Lurking Lizard“ bekannte Operation rekrutiert seit 2022 ahnungslose Nutzer in ein verdecktes Proxy-Netzwerk. Über die Android-App WireVPN – mit über einer Million Downloads – werden Smartphones zu Ausgangsknoten für Aktivitäten chinesisch-verbundener Gruppen umfunktioniert.
Und aus dem Iran kommt eine neue, besonders zerstörerische Schadsoftware: GigaWiper (auch als BLUERABBIT bekannt) kombiniert Datenlöschung mit Spionagefunktionen und vorgetäuschter Erpressungssoftware. Das Tool tarnt sich als legitimer Cloud-Dienst und zielt darauf ab, bei Organisationen dauerhaften Datenverlust und Betriebsunterbrechungen zu verursachen.

