APT28 nutzt neue Microsoft-Office-Lücke binnen Stunden aus – weltweite Spionagekampagne entdeckt

APT28 nutzt neue Microsoft-Office-Lücke binnen Stunden aus – weltweite Spionagekampagne entdeckt

X Reddit WhatsApp
05.02.2026

APT28 nutzt neue Microsoft-Office-Schwachstelle in Rekordzeit aus

Russische Staatshacker haben erneut ihre technische Überlegenheit demonstriert. Weniger als 48 Stunden nach einem außerplanmäßigen Sicherheitsupdate von Microsoft nutzte die Hackergruppe APT28 eine kritische Office-Schwachstelle für gezielte Cyberangriffe auf Behörden und Infrastrukturorganisationen.

Angriff schneller als jede IT-Routine

Die Schwachstelle mit der Kennung CVE-2026-21509 wurde Ende Januar durch Microsoft geschlossen. Doch noch bevor viele Organisationen das Update installieren konnten, hatten die Angreifer den Patch bereits analysiert, rückentwickelt und eine voll funktionsfähige Exploit-Kette entwickelt.

Das Ergebnis: hochgradig getarnte Angriffe, die nahezu unsichtbar an klassischen Sicherheitslösungen vorbeigingen.

Wer steckt hinter dem Angriff?

Die Kampagne wird mit hoher Sicherheit der Gruppe APT28 zugeschrieben, die auch unter Namen wie Fancy Bear, Sednit oder Sofacy bekannt ist. Die Gruppe gilt als staatlich gesteuert und wird seit Jahren mit Cyber-Spionage und Einflussoperationen in Verbindung gebracht.

So funktionierte die Attacke

  • Gezielte Spear-Phishing-Mails aus bereits kompromittierten Regierungs-Accounts
  • Dateilose Malware, vollständig verschlüsselt und ausschließlich im Arbeitsspeicher aktiv
  • Steuerung über legitime Cloud-Dienste, die in vielen Netzwerken ausdrücklich erlaubt sind
  • Missbrauch vertrauter E-Mail-Kommunikation zur Umgehung von Sicherheitswarnungen

Neue Backdoors: BeardShell und NotDoor

Nach erfolgreicher Infektion installierten die Angreifer eine von zwei neuen Schadprogrammen:

BeardShell ermöglichte vollständige Systemaufklärung, Persistenz über Windows-Systemprozesse und laterale Bewegung innerhalb der Netzwerke – ohne Spuren auf der Festplatte.

NotDoor nutzte manipulierte Outlook-Makros, überwachte mehrere Mail-Ordner und leitete sensible Nachrichten über Cloud-Konten der Angreifer weiter. Weitergeleitete Mails wurden automatisch gelöscht, um Entdeckung zu vermeiden.

Welche Länder waren betroffen?

Innerhalb von nur 72 Stunden wurden mindestens 29 unterschiedliche Phishing-Varianten eingesetzt. Betroffen waren Organisationen in neun Ländern, darunter Polen, Rumänien, Ukraine, Griechenland, Türkei und die Vereinigten Arabischen Emirate.

Die Hauptziele:

  • Verteidigungsministerien (40 %)
  • Transport- und Logistikunternehmen (35 %)
  • Diplomatische Einrichtungen (25 %)

Warum dieser Angriff besonders gefährlich ist

Der Vorfall zeigt eindrucksvoll, wie stark sich das Zeitfenster für IT-Verteidiger verkürzt hat. Staatliche Akteure sind heute in der Lage, neue Sicherheitslücken innerhalb von Stunden zu bewaffnen.

Patch-Management allein reicht nicht mehr aus. Wer Updates verzögert, setzt kritische Systeme einem realen Cyberkriegsrisiko aus.

Fazit

APT28 demonstriert erneut, dass moderne Cyberangriffe leise, präzise und hochautomatisiert ablaufen. Der Angriff auf Microsoft Office ist kein Einzelfall – sondern ein Vorgeschmack auf eine neue Eskalationsstufe digitaler Konflikte.

Mehr aktuelle Entwicklungen

Weitere Veränderungen, Trends und stille Verschiebungen beobachten wir täglich.

→ Alle aktuellen News ansehen
Von Jens Könnig
Einordnung & Redaktion
Aktualisiert am 05.02.2026 19:20