Threat Intelligence

APT29 / Cozy Bear

Die Gruppe hinter SolarWinds: APT29 steht für die leisesten Angriffe der Welt – über Lieferketten und Cloud-Identitäten, oft monatelang unentdeckt.

Kurz erklärt

APT29 (Cozy Bear, Midnight Blizzard) wird dem russischen Auslandsgeheimdienst SVR zugeordnet und gilt als eine der technisch fähigsten Spionagegruppen. Bekannt durch den SolarWinds-Supply-Chain-Angriff und spätere Attacken auf Microsoft-Konzernkonten, zielt die Gruppe heute vor allem auf Cloud-Umgebungen, OAuth-Anwendungen und Identitäten – leise und langfristig.

Typ

APT – staatlich gesteuert (Russland, SVR)

Status

Aktiv – laufende Cloud- und Identitätskampagnen (Stand: Juli 2026)

Motivation

Spionage – politisch und wirtschaftlich

Typische Ziele

Regierungen, Diplomatie, IT-Provider, Forschung – und deren Cloud-Umgebungen

Taktiken

Supply-Chain-Angriffe, OAuth-/Token-Missbrauch, Password Spraying, langfristige Persistenz in M365/Entra

Risiko-Einschätzung

Hoch – v. a. über Software-Lieferkette und Cloud-Identitäten

Was Unternehmen jetzt prüfen sollten

  • OAuth-App-Inventar in M365/Entra: Welche Apps haben weitreichende Berechtigungen?
  • Conditional Access und phishing-resistente MFA für alle Cloud-Konten
  • Monitoring auf ungewöhnliche Token-Nutzung und Mailbox-Regeln
  • Software-Lieferkette: Update-Quellen und Signaturen der eingesetzten Produkte

Wie Argos unterstützt

Cloud- und Identity-Monitoring im Cyber Defense Center, Threat Hunting in M365-Umgebungen und forensische Analyse bei Verdacht auf stille Kompromittierung.