Seit dem 7. April 2026 liegt eine ungewöhnlich deutliche Warnung vor, die gleich mehrere Nachrichtendienste gemeinsam herausgegeben haben: Das Bundesamt für Verfassungsschutz (BfV), das britische National Cyber Security Centre (NCSC) und das amerikanische FBI warnen in einem koordinierten Joint Advisory vor einer laufenden Spionagekampagne der russischen Hackergruppe APT28 – auch bekannt als Fancy Bear – gegen SOHO-Router, insbesondere Geräte des Herstellers TP-Link. Das ist kein Routinehinweis: Wenn Verfassungsschutz, NCSC und FBI gleichzeitig öffentlich warnen, hat die Bedrohungslage eine Qualität erreicht, die unmittelbares Handeln erfordert.
Die Gruppe steht dem russischen Militärgeheimdienst GRU nahe und operiert unter der internen Bezeichnung „Military Unit 26165". APT28 ist keine unbekannte Größe in der deutschen Sicherheitslandschaft: Die Gruppe war bereits für den Hackerangriff auf den Deutschen Bundestag im Jahr 2015 verantwortlich, griff die SPD-Parteizentrale an, kompromittierte die Flugsicherung DFS und steht im Verdacht, zahlreiche weitere hochkarätige Angriffe auf europäische Regierungsstellen und kritische Infrastruktur durchgeführt zu haben. Hinter dem Codenamen „Fancy Bear" verbirgt sich eine der professionellsten, am besten finanzierten und langlebigsten staatlichen Hackergruppen der Welt.
Die Schwachstelle: CVE-2023-50224 und DNS-Hijacking
Im Mittelpunkt der aktuellen Kampagne steht die Schwachstelle CVE-2023-50224 mit einem CVSS-Score von 6.5 – ein Authentication Bypass in bestimmten TP-Link-Routern, insbesondere im Modell WR841N, einem der meistverkauften SOHO-Router Europas. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, allein durch speziell gestaltete HTTP-GET-Anfragen gespeicherte Zugangsdaten aus dem Gerät auszulesen – ohne sich vorher anmelden zu müssen. Die technische Ursache liegt in einer unzureichenden Zugriffsvalidierung der Router-API, die bestimmte Endpunkte ohne vorherige Authentifizierung erreichbar lässt.
Der Angriff läuft nach Erkenntnissen des UK-NCSC in zwei präzise aufeinander abgestimmten Stufen ab:
- Stufe 1 – Credential Theft: Über die CVE-2023-50224-Lücke werden die Administratorzugangsdaten des Routers per HTTP-GET-Request automatisiert ausgelesen. Dies geschieht vollkommen ohne Nutzerinteraktion, ohne dass Alarm ausgelöst wird und ohne sichtbare Spuren im Standard-Log.
- Stufe 2 – DNS-Manipulation: Mit den erbeuteten Zugangsdaten meldet sich der Angreifer am Routerinterface an und ändert den primären DNS-Server auf eine von APT28 kontrollierte IP-Adresse. Der sekundäre DNS-Server wird meist auf den ursprünglichen legitimen DNS-Server gesetzt – das Netz funktioniert oberflächlich normal, alle Anfragen laufen aber über die Infrastruktur der Angreifer.
Das Tückische an dieser Technik: Der Nutzer oder die IT-Abteilung bemerkt zunächst nichts. Der Router läuft, alle Webseiten sind erreichbar, die Latenz ist kaum messbar verändert. Im Hintergrund jedoch wird der gesamte DNS-Datenverkehr des betroffenen Netzwerks durch die Infrastruktur der russischen Militärgeheimdienstler geleitet – unsichtbar, still, dauerhaft.
Adversary-in-the-Middle: Die eigentliche Gefahr beginnt erst
DNS-Hijacking allein wäre schon eine ernste Bedrohung – doch APT28 nutzt die kompromittierten Router als Sprungbrett für weit gefährlichere Adversary-in-the-Middle-Angriffe (AitM). Indem der DNS-Verkehr auf eigene Server umgeleitet wird, können die Angreifer Benutzer auf täuschend echte Nachahmerseiten wichtiger Dienste weiterleiten. Im Visier steht dabei vor allem Microsoft Outlook und die gesamte Microsoft-365-Infrastruktur.
Die Angreifer hosten identisch aussehende Phishing-Seiten auf ihrer Infrastruktur und leiten Nutzer, die sich auf Outlook oder SharePoint einloggen wollen, transparent dorthin um. Das Ergebnis: Zugangsdaten, OAuth-Tokens und Session-Cookies landen bei APT28 – oft ohne dass der Benutzer etwas bemerkt, denn nach dem Abfangen der Credentials wird er auf die echte Microsoft-Seite weitergeleitet. Selbst Zwei-Faktor-Authentifizierung schützt nicht vollständig, wenn OAuth-Tokens direkt abgefangen und wiederverwendet werden.
Das erklärte strategische Ziel der Kampagne laut gemeinsamem Advisory: das Sammeln von Informationen über Militär, Regierungsstellen und kritische Infrastruktur. APT28 sucht gezielt nach Zugangsdaten zu sensiblen Systemen, nach internen Kommunikationen, nach Projektdokumentationen und nach allem, was ein strategisches Lagebild Deutschlands und seiner Verbündeten schärft.
Wer ist konkret betroffen?
TP-Link-Router des Typs WR841N – und vergleichbare Modelle anderer günstiger SOHO-Marken wie MikroTik, die ebenfalls im Advisory erwähnt werden – sind nicht nur in Privathaushalten, sondern massenhaft in kleinen und mittleren Unternehmen im Einsatz. Sie kosten zwischen 20 und 80 Euro, sind einfach einzurichten und erfüllen ihren Zweck zuverlässig – weshalb sie häufig jahrelang ohne Updates laufen. Genau das macht sie zum idealen Angriffsziel für eine staatliche Geheimdienstoperation, die auf Dauerhaftigkeit und Unsichtbarkeit setzt.
Betroffen sein können grundsätzlich alle Netzwerke, in denen solche Geräte eingesetzt werden. Das Bundesamt für Verfassungsschutz gibt an, dass die Kampagne seit mindestens 2024 läuft – die Dunkelziffer kompromittierter Geräte ist nach Einschätzung der Behörden erheblich. Besonders gefährdet sind:
- KMU, die als Zulieferer oder Dienstleister für Behörden, Rüstungsindustrie oder KRITIS-Betreiber tätig sind
- Unternehmen mit Mitarbeitern im Homeoffice, deren private Router als Einfallstor dienen können
- Unternehmen, die Microsoft 365 oder ähnliche Cloud-Dienste intensiv nutzen
- Organisationen, bei denen die IT-Sicherheit von Edge-Geräten im blinden Fleck liegt
Sofortmaßnahmen: Was Sie jetzt tun müssen
Das Joint Advisory von BfV, NCSC und FBI empfiehlt konkrete Schritte, die wir hier um praxisnahe Hinweise für den Mittelstand ergänzen:
DNS-Konfiguration aller Router sofort prüfen
Melden Sie sich in der Administrationsoberfläche Ihrer Geräte an und prüfen Sie, welche DNS-Server eingetragen sind. Legitime Optionen: Der DNS Ihres Internetproviders (meist im Vertrag angegeben), bekannte öffentliche Resolver wie 9.9.9.9 (Quad9), 1.1.1.1 (Cloudflare) oder 8.8.8.8 (Google). Jede unbekannte IP-Adresse, die nicht diesen Mustern entspricht, ist ein dringliches Warnsignal. Notieren Sie alle aktuellen DNS-Adressen, bevor Sie Änderungen vornehmen – die Logs könnten forensisch relevant sein.
Firmware sofort aktualisieren
TP-Link hat Firmware-Updates veröffentlicht, die CVE-2023-50224 schließen. Prüfen Sie auf der TP-Link-Supportseite Ihr konkretes Modell und laden Sie die aktuellste Firmware. Einige neuere Geräte unterstützen automatische Firmware-Updates – aktivieren Sie diese Funktion, wenn vorhanden. Für ältere Modelle, für die kein Patch mehr verfügbar ist, sollte eine Geräteersetzung ernsthaft erwogen werden.
Standard-Zugangsdaten ändern
Ein erschreckend hoher Anteil aller SOHO-Router läuft noch mit dem Standardpasswort „admin". Ändern Sie Admin-Passwörter sofort auf starke, einmalige Credentials (mindestens 16 Zeichen, alphanumerisch mit Sonderzeichen). Dokumentieren Sie die neuen Passwörter sicher in einem Passwortmanager oder dem zentralen IT-Dokumentationssystem Ihres Unternehmens.
Remote-Management deaktivieren
Das Remote-Management-Interface der meisten SOHO-Router sollte aus dem öffentlichen Internet nicht erreichbar sein. Prüfen Sie in den Einstellungen unter „Fernverwaltung" oder „Remote Access", ob dieser Dienst deaktiviert ist. Administrativer Zugriff sollte ausschließlich aus dem lokalen Netzwerk oder über ein gesichertes VPN möglich sein.
Netzwerksegmentierung überprüfen
In Unternehmensumgebungen sollten kritische Systeme – Server, Datenbankinfrastruktur, Produktionssysteme, KRITIS-relevante Anlagen – durch Firewalls und VLANs von dem Netz getrennt sein, das direkt an SOHO-Routern hängt. Ein kompromittierter Edge-Router darf kein direktes Sprungbrett in Ihre Kernsysteme sein. Wenn Sie bisher keine konsequente Segmentierung betreiben, ist jetzt der Moment, damit zu beginnen.
Vorfälle melden
Wenn Sie Hinweise auf eine Kompromittierung finden – unbekannte DNS-Adressen, unerwartete Login-Aktivitäten, Anomalien im Netzwerkverkehr – melden Sie den Vorfall unverzüglich dem BSI (CERT-Bund) und, falls Sie unter NIS2 fallen, über den vorgeschriebenen 24-Stunden-Meldeweg. Informationen über aktive Angriffsmuster helfen den Behörden, das Lagebild zu schärfen und weitere Betroffene zu warnen.
Einordnung: Warum staatliche Spionage den Mittelstand betrifft
Es wäre ein Fehler zu glauben, russische Staatshacker interessierten sich ausschließlich für Bundesministerien und DAX-Konzerne. Die Realität sieht anders aus: Der deutsche Mittelstand ist ein bevorzugtes Angriffsziel staatlicher Spionageoperationen – gerade weil er als Zulieferer, Dienstleister oder Technologiepartner in enger Verbindung zu sensiblen Bereichen steht, dabei aber häufig deutlich geringere Sicherheitsmaßnahmen implementiert hat.
Ein Maschinenbauer, der Präzisionsteile an die Rüstungsindustrie liefert, ein IT-Dienstleister mit Behördenkunden, ein Logistikdienstleister, der an der Lebensmittelversorgung beteiligt ist – alle diese Unternehmen sind potenziell wertvolle Mosaiksteine in einem nachrichtendienstlichen Lagebild. APT28 sammelt diese Informationen systematisch und langfristig.
Die gute Nachricht: Die konkreten Schutzmaßnahmen gegen diese Kampagne sind technisch nicht besonders aufwändig. Aktuelle Firmware, starke Passwörter, deaktivierter Fernzugriff und eine DNS-Überwachung bilden eine wirksame erste Abwehrlinie. Es ist keine Frage des Budgets – es ist eine Frage der Priorisierung. Sprechen Sie das Thema Edge-Device-Security in Ihrem nächsten Security-Review an.
Wenn Sie Unterstützung bei der Bewertung Ihrer aktuellen Sicherheitslage, bei der Implementierung von Netzwerksegmentierung oder beim Aufbau eines strukturierten Schwachstellenmanagements benötigen, steht Ihnen das pleXtec-Team gerne zur Verfügung. Mehr über unser Leistungsangebot erfahren Sie unter Informationssicherheit und Leistungsübersicht.