Threat Intelligence

APT28 / Fancy Bear

APT28 wird dem russischen Militärgeheimdienst GRU zugeordnet und ist für Angriffe von Bundestag bis NATO-Logistik verantwortlich – eine der relevantesten Spionagegruppen für Deutschland.

Kurz erklärt

APT28 (Fancy Bear, Forest Blizzard) ist eine staatlich gesteuerte Spionagegruppe, die dem GRU zugeordnet wird und seit über einem Jahrzehnt Regierungen, Militär, Medien und zunehmend Logistik- und Rüstungszulieferer angreift – auch in Deutschland (u. a. Bundestag-Hack 2015). Das BSI warnt regelmäßig vor aktiven Kampagnen gegen deutsche Ziele.

Typ

APT – staatlich gesteuert (Russland, GRU)

Status

Aktiv – seit mindestens 2004, laufende Kampagnen (Stand: Juli 2026)

Motivation

Spionage, Einflussnahme, Vorbereitung von Sabotage

Typische Ziele

Regierung, Verteidigung, Politik, Think Tanks, Logistik – Fokus auch auf DACH

Taktiken

Spearphishing, Credential Harvesting, Zero-Day-Exploits, Angriffe auf Mail-Infrastruktur und Router

Risiko-Einschätzung

Hoch – für Behörden, Rüstung, Politiknahe und deren Zulieferer

Was Unternehmen jetzt prüfen sollten

  • Bin ich indirektes Ziel? Zulieferer und Dienstleister sensibler Branchen sind es oft
  • Phishing-resistente MFA und Härtung der Mail-Infrastruktur (kein Legacy-Auth)
  • Patch-Stand von Mail-Servern, VPNs und Netzwerk-Geräten – bevorzugte APT28-Einstiege
  • Langzeit-Logging: Spionage fällt oft erst nach Monaten auf

Wie Argos unterstützt

24/7-Monitoring mit Threat Intelligence im Cyber Defense Center, Threat Hunting bei Verdacht auf langfristige Kompromittierung und forensische Aufarbeitung.