Mit Russland verbundene Hacker nutzen bekannte Schwachstellen in älteren Internet-Routern aus, um massenhaft Authentifizierungstoken von **Microsoft Office**-Nutzern zu stehlen, warnten Sicherheitsexperten. Die Spionagekampagne ermöglichte staatlich unterstützten russischen Hackern, unbemerkt Authentifizierungstoken von Nutzern in über 18.000 Netzwerken abzuzweigen, ohne bösartige Software oder Code einzusetzen. **Microsoft** gab in einem aktuellen Blogbeitrag an, mehr als 200 Organisationen und 5.000 Endverbrauchergeräte identifiziert zu haben, die in ein heimliches Spionagenetzwerk von **Forest Blizzard** verwickelt waren.  Forest Blizzard, auch bekannt als APT28 und Fancy Bear, wird den militärischen Aufklärungseinheiten des russischen Generalstabs (GRU) zugeschrieben. APT 28 kompromittierte 2016 bekanntermaßen den Wahlkampf von Hillary Clinton, das Democratic National Committee und das Democratic Congressional Campaign Committee. Forscher von **Black Lotus Labs**, einer Sicherheitsabteilung des Internet-Backbone-Providers **Lumen**, stellten fest, dass Forest Blizzard im Dezember 2025 auf dem Höhepunkt seiner Überwachungstätigkeit mehr als 18.000 Internet-Router beeinträchtigte, hauptsächlich nicht unterstützte, End-of-Life-Router oder Geräte, denen aktuelle Sicherheitsupdates fehlten. Die Hacker zielten hauptsächlich auf Regierungsbehörden ab, darunter Außenministerien, Strafverfolgungsbehörden und E-Mail-Anbieter von Drittanbietern. **Ryan English**, Security Engineer bei Black Lotus Labs, erklärte, dass die GRU-Hacker keine Malware auf den Zielroutern installieren mussten, bei denen es sich hauptsächlich um ältere **Mikrotik**- und **TP-Link**-Geräte handelte, die für den SOHO-Markt (Small Office/Home Office) bestimmt waren. Stattdessen nutzten sie bekannte Schwachstellen aus, um die Domain Name System (DNS)-Einstellungen der Router zu ändern und DNS-Server einzufügen, die von den Hackern kontrolliert wurden. Das britische **National Cyber Security Centre** (NCSC) beschrieb in einer neuen Warnung, wie russische Cyberakteure Router kompromittieren. DNS ermöglicht es Einzelpersonen, Websites zu erreichen, indem sie vertraute Adressen anstelle der zugehörigen IP-Adressen eingeben. Bei einem DNS-Hijacking-Angriff greifen böswillige Akteure in diesen Prozess ein, um Nutzer heimlich zu bösartigen Websites zu leiten, die darauf ausgelegt sind, Anmeldedaten oder andere sensible Informationen zu stehlen. English erklärte, dass die von Forest Blizzard angegriffenen Router so konfiguriert wurden, dass sie DNS-Server verwendeten, die auf von den Angreifern kontrollierte virtuelle private Server zeigten. Die Angreifer konnten dann ihre bösartigen DNS-Einstellungen an alle Nutzer im lokalen Netzwerk weitergeben und von da an alle von diesen Nutzern übertragenen OAuth-Authentifizierungstoken abfangen.  Da diese Token typischerweise erst *nachdem* sich der Nutzer erfolgreich angemeldet und die Multi-Faktor-Authentifizierung durchlaufen hat, übertragen werden, konnten die Angreifer direkten Zugriff auf die Konten der Opfer erlangen, ohne die Anmeldedaten und/oder Einmalcodes jedes Nutzers per Phishing abgreifen zu müssen. „Alle suchen nach ausgeklügelter Malware, die etwas auf Ihren Mobilgeräten oder Ähnlichem ablegt“, sagte English. „Diese Leute haben keine Malware verwendet. Sie haben das auf eine altmodische, erfahrene Weise gemacht, die nicht wirklich sexy ist, aber ihren Zweck erfüllt.“ Microsoft bezeichnet die Aktivität von Forest Blizzard als Nutzung von DNS-Hijacking „zur Unterstützung von Post-Compromise Adversary-in-the-Middle (AiTM)-Angriffen auf Transport Layer Security (TLS)-Verbindungen gegen Microsoft Outlook im Web-Domänen.“ Der Softwaregigant sagte, dass die Ausrichtung auf SOHO-Geräte zwar keine neue Taktik sei, dies jedoch das erste Mal sei, dass Microsoft Forest Blizzard beim „DNS-Hijacking in großem Maßstab zur Unterstützung von AiTM von TLS-Verbindungen nach Ausnutzung von Edge-Geräten“ beobachtet habe. Danny Adamitis, Ingenieur bei Black Lotus Labs, sagte, es werde interessant sein zu sehen, wie Forest Blizzard auf die heutige Aufregung um ihre Spionageoperation reagiere, und wies darauf hin, dass die Gruppe ihre Taktiken als Reaktion auf einen ähnlichen **NCSC**-Bericht im August 2025 sofort geändert habe. Damals nutzte Forest Blizzard Malware, um eine weitaus gezieltere und kleinere Gruppe kompromittierter Router zu kontrollieren. Adamitis sagte jedoch, dass die Gruppe am Tag nach dem NCSC-Bericht den Malware-Ansatz schnell aufgegeben und stattdessen massenhaft die DNS-Einstellungen auf Tausenden von anfälligen Routern geändert habe. „Vor dem letzten NCSC-Bericht nutzten sie diese Fähigkeit in sehr begrenzten Fällen“, sagte Adamitis gegenüber KrebsOnSecurity. „Nachdem der Bericht veröffentlicht wurde, implementierten sie die Fähigkeit systematischer und nutzten sie, um alles Anfällige ins Visier zu nehmen.“ TP-Link gehörte zu den Routerherstellern, die einem potenziellen Verbot in den Vereinigten Staaten gegenüberstanden. Am 23. März verfolgte die **U.S. Federal Communications Commission** (FCC) jedoch einen viel breiteren Ansatz und kündigte an, dass sie Verbraucher-Internet-Router, die außerhalb der Vereinigten Staaten hergestellt werden, nicht mehr zertifizieren werde. Die FCC warnte, dass ausländische Router eine untragbare nationale Sicherheitsbedrohung darstellten und dass schlecht gesicherte Router „ein schwerwiegendes Cybersicherheitsrisiko darstellen, das ausgenutzt werden könnte, um die kritische Infrastruktur der USA sofort und schwerwiegend zu stören und US-Bürger direkt zu schädigen“. Experten entgegneten, dass unter dieser neuen FCC-Politik nur wenige neue Verbraucher-Router zum Kauf verfügbar sein würden (abgesehen vielleicht von Musks Starlink-Satelliten-Internet-Routern, die in Texas hergestellt werden). Die FCC sagt, dass Routerhersteller eine spezielle „bedingte Genehmigung“ vom Kriegsministerium oder dem Ministerium für Innere Sicherheit beantragen können und dass die neue Politik keine bereits gekauften Verbraucher-Router betrifft.