Jena, 10. März 2026 – Das in Jena ansässige IT-Sicherheitsunternehmen ESET schlägt Alarm: Die berüchtigte russische Hacker-Gruppierung Sednit ist mit einem neuen, hochentwickelten Spionage-Arsenal zurück. Die auch als APT28 oder Fancy Bear bekannten Angreifer rücken nach Analysen der Experten derzeit insbesondere ukrainische Militärstrukturen in den Fokus.
- Wer: Hacker-Gruppierung Sednit (APT28, Fancy Bear, Forest Blizzard)
- Was: Neue Langzeit-Spionagekampagnen mit hochentwickelter Schadsoftware (SlimAgent, BeardShell)
- Aktuelles Hauptziel: Ukrainisches Militärpersonal
- Bekannte frühere Ziele: Deutscher Bundestag, TV5Monde, US-Demokraten
- Analysierendes Unternehmen: ESET Deutschland GmbH (Sitz in Jena)
Vom Bundestagshack zur militärischen Langzeitspionage
Sednit gilt als eine der weltweit schlagkräftigsten Hackergruppen und wird dem russischen Militärgeheimdienst GRU zugerechnet. Weltweite Bekanntheit erlangte die Gruppierung unter anderem durch den großangelegten Hackerangriff auf den Deutschen Bundestag, die Sabotage des französischen Senders TV5Monde sowie die Spionageangriffe auf das Demokratische Nationalkomitee der USA. Laut dem aktuellen ESET-Bericht haben die Entwickler der Gruppe ihre Werkzeuge in den vergangenen Monaten massiv aufgerüstet.
Drei neue Schadprogramme im Einsatz
Den Ausgangspunkt der aktuellen Analyse bildete ein Fund des ukrainischen Notfallteams CERT-UA auf dem Rechner einer ukrainischen Behörde im April 2024. Die Jenaer ESET-Forscher identifizierten dabei eine direkte Weiterentwicklung früherer Spionage-Tools:
- SlimAgent: Ein Werkzeug, das Tastatureingaben aufzeichnet, Screenshots anfertigt und die Zwischenablage ausliest. Es gilt als Nachfolger des in den 2010er-Jahren eingesetzten Xagent-Backdoors.
- BeardShell: Diese Malware missbraucht den Cloud-Speicherdienst Icedrive als verdeckten Kommunikationskanal. Da der Datenverkehr wie normale Cloud-Nutzung aussieht, können klassische Sicherheitsfilter unterlaufen werden.
- Covenant: Ein modifiziertes Open-Source-Framework, das über manipulierte Cloud-Konten (wie Filen, Koofr oder pCloud) dauerhaften Zugang zu Zielrechnern hält. ESET wies nach, dass ukrainische Militärcomputer auf diese Weise über mehr als sechs Monate hinweg überwacht wurden.
Code-Spuren führen in die Vergangenheit
Besonders aufschlussreich für die Cybersicherheitsexperten ist die technische Handschrift der Entwickler. In BeardShell entdeckten die Forscher eine seltene mathematische Verschleierungstechnik, die bereits zwischen 2013 und 2016 im Netzwerk-Tool Xtunnel zum Einsatz kam. Solche digitalen Fingerabdrücke gelten in der Analyse staatlicher Hacker als starkes Indiz dafür, dass dasselbe Programmierteam wie vor zehn Jahren am Werk ist.
Warum die Gruppe zwischen 2019 und 2024 auf einfachere Methoden auswich, bevor sie nun wieder hochkomplexe Individualentwicklungen einsetzt, ist nicht abschließend geklärt. Die ESET-Forscher vermuten, dass der Angriffskrieg gegen die Ukraine eine Ausweitung der Geheimdienstoperationen erforderte, oder die Gruppe in den Vorjahren schlicht vorsichtiger agierte, um unter dem Radar zu bleiben.
Weitere Informationen und Kontakt
Den vollständigen technischen Bericht „Sednit ist wieder da“ finden Interessierte auf dem IT-Sicherheitsblog Welivesecurity.com.
Kontakt ESET Deutschland GmbH:
Ansprechpartner: Philipp Plum
Telefon: 03641 3114 141
E-Mail: philipp.plum@eset.com
Website: www.eset.de
Hintergrund: IT-Standort Jena & Cybersicherheit
Die ESET Deutschland GmbH hat ihren Hauptsitz in Jena und stärkt damit den Ruf der Lichtstadt als einen der wichtigsten IT- und Technologiestandorte in Thüringen. Cyber-Spionage und staatliche Hacking-Angriffe richten sich in der Regel gegen Regierungseinrichtungen, Militär oder Betreiber kritischer Infrastrukturen. Dennoch profitieren auch Privatpersonen und mittelständische Unternehmen von den Analysen großer Sicherheitsfirmen: Erkenntnisse über die Methoden der Profi-Hacker fließen direkt in die Entwicklung von Antiviren-Software und Firewalls ein, die am Ende Netzwerke weltweit vor modernen Bedrohungen schützen. Grundsätzlich raten IT-Experten dazu, Software-Updates stets zeitnah zu installieren und bei E-Mail-Anhängen sowie Cloud-Links von unbekannten Absendern höchste Vorsicht walten zu lassen.
Quelle:
Jena – Sie haben den Deutschen Bundestag (https://www.deutschlandfunk.de/was-russland-mit-den-angrif
Transparenz-Hinweis: Dieser Artikel wurde automatisiert erstellt, redaktionell geprüft und mit KI-Unterstützung erweitert.