Neuer russischer Hackerakteur „Void Blizzard“ attackiert kritische Infrastrukturen in Europa und Nordamerika

24. Juni 2025

Microsoft warnt vor gezielten Spionagekampagnen gegen Telekommunikations- und IT-Sektoren – enge Kooperation mit internationalen Sicherheitsbehörden

Ein neuer Akteur auf dem Feld der Cyberspionage sorgt aktuell für internationale Aufmerksamkeit: Die russisch-staatlich unterstützte Hackergruppe „Void Blizzard“, auch bekannt unter dem Codenamen „Laundry Bear“, steht laut einer aktuellen Analyse von Microsoft Threat Intelligence hinter einer Serie zielgerichteter Cyberangriffe auf Organisationen in sicherheitsrelevanten Bereichen.

Im Visier der Angreifer stehen vorrangig Einrichtungen aus den Sektoren Regierung, Verteidigung, Transport, Medien, Gesundheitswesen sowie Nichtregierungsorganisationen (NGOs). Besonders betroffen seien Organisationen in NATO-Staaten und der Ukraine – ein Indiz dafür, dass Void Blizzard Informationen im Interesse strategischer Ziele der russischen Regierung sammelt.

Seit mindestens April 2024 ist die Gruppe aktiv. Zu Beginn verschaffte sie sich vor allem über gestohlene Zugangsdaten Zugriff auf sensible Netzwerke – oft vermutlich bezogen über Online-Marktplätze für gehackte Daten. Die Angreifer extrahierten nach erfolgreichen Kompromittierungen umfangreiche Mengen an E-Mails und Dateien.

Doch die Techniken entwickeln sich weiter: Im April 2025 registrierte Microsoft erstmals gezielte Spear-Phishing-Kampagnen durch Void Blizzard. Hierbei werden manipulierte E-Mails genutzt, um Benutzer zur Herausgabe ihrer Zugangsdaten zu bewegen – ein direkterer und zunehmend erfolgreicherer Angriffsweg.

„Void Blizzard nutzt bekannte Techniken, doch ihr strategisch ausgerichtetes Vorgehen und der Erfolg ihrer Operationen zeigen, wie gefährlich selbst einfache Methoden sein können, wenn sie entschlossen und gezielt eingesetzt werden“, heißt es in Microsofts Lagebericht.

Die Cyberspionageoperationen des Akteurs gelten als besonders besorgniserregend, da sie gezielt auf kritische Infrastrukturen abzielen. Die aktuelle Bedrohungslage unterstreicht die Notwendigkeit, auch vermeintlich banale Angriffsvektoren wie kompromittierte Zugangsdaten oder Phishing ernst zu nehmen – insbesondere angesichts der geopolitischen Spannungen und hybriden Bedrohungsszenarien.

Microsoft arbeitet im Rahmen der Analyse und Abwehr von Void Blizzard eng mit internationalen Partnern zusammen, darunter der niederländische Geheimdienst AIVD, der Militärische Abschirmdienst MIVD sowie das US-amerikanische FBI. Ziel ist es, betroffene Organisationen gezielt mit Erkennungs- und Schutzmaßnahmen auszustatten.

Void Blizzard: Russische Hackergruppe fokussiert Angriffe auf NATO und Ukraine

Die von Microsoft als staatlich-russisch eingestufte Hackergruppe Void Blizzard richtet ihre Cyberangriffe gezielt gegen NATO-Mitgliedstaaten und die Ukraine. Häufig überschneiden sich ihre Ziele mit denen anderer russischer Gruppen wie Forest Blizzard, Midnight Blizzard oder Secret Blizzard – ein Hinweis auf koordinierte Interessen im Bereich Spionage und Informationsbeschaffung.

Seit Mitte 2024 hat Microsoft Angriffe von Void Blizzard auf eine Vielzahl kritischer Sektoren registriert, darunter:

• Telekommunikation

• Verteidigung

• Gesundheitswesen

• Bildungswesen

• Behörden

• IT

• Transport

• Medien

• NGOs

• zwischenstaatliche Organisationen

Besonders betroffen sind Länder, die die Ukraine militärisch oder humanitär unterstützen. Innerhalb der Ukraine kompromittierte Void Blizzard unter anderem Organisationen aus der Luftfahrt-, Bildungs- und Verteidigungsbranche. Im Oktober 2024 drang die Gruppe in Benutzerkonten einer ukrainischen Luftfahrtorganisation ein – ein Ziel, das zuvor bereits vom GRU-nahen Seashell Blizzard und Forest Blizzard attackiert wurde.

Taktiken und Zugriffswege

Void Blizzard nutzt überwiegend einfache Zugangsmethoden wie Passwort-Spraying und gestohlene Login-Daten, die vermutlich aus kriminellen Marktplätzen stammen. Ziel sind dabei insbesondere Microsoft-Dienste wie Exchange und SharePoint Online.

Im April 2025 identifizierte Microsoft eine neue Phishing-Kampagne gegen mehr als 20 NGOs in Europa und den USA. Die Angreifer nutzten eine Typosquatting-Domain, um das Microsoft Entra-Authentifizierungsportal zu fälschen, und tarnten ihre Angriffe als Einladungen zum European Defense and Security Summit. Diese neu beobachtete Methode signalisiert einen Übergang von opportunistischen zu zunehmend zielgerichteten Operationen – mit erhöhtem Risiko für Organisationen in kritischen Bereichen.

Abbildung 1: Text einer Phishing-E-Mail

Der Anhang enthielt einen bösartigen QR-Code, der zu der Void Blizzard-Infrastruktur micsrosoftonline[.]com weiterleitete, auf der eine Seite zum Phishing von Anmeldedaten gehostet wird, die die Microsoft Entra-Authentifizierungsseite vortäuscht. Wir gehen davon aus, dass Void Blizzard das Open-Source-Angriffsframework Evilginx nutzt, um die AitM-Phishing-Kampagne durchzuführen und Authentifizierungsdaten zu stehlen, darunter eingegebene Benutzernamen und Passwörter sowie alle vom Server generierten Cookies. Evilginx wurde 2017 veröffentlicht und war das erste weit verbreitete Phishing-Kit mit AitM-Funktionen.

Abbildung 2. PDF-Anhang mit bösartigem QR-Code

Abbildung 3: Seite zum Phishing von Anmeldedaten auf der Infrastruktur des Angreifers

Aktivitäten nach der Kompromittierung

Trotz der wenig ausgefeilten Methoden beim ersten Zugriff ist es Void Blizzard gelungen, sich Zugang zu kompromittierten Organisationen in kritischen Sektoren zu verschaffen und dort Informationen zu sammeln.

Nach dem ersten Zugriff missbraucht Void Blizzard legitime Cloud-APIs wie Exchange Online und Microsoft Graph, um die Postfächer der Benutzer, einschließlich aller freigegebenen Postfächer, und in der Cloud gehostete Dateien aufzulisten. Sobald Konten erfolgreich kompromittiert sind, automatisiert der Angreifer wahrscheinlich die massenhafte Erfassung von in der Cloud gehosteten Daten (hauptsächlich E-Mails und Dateien) sowie von allen Postfächern oder Dateifreigaben, auf die der kompromittierte Benutzer Zugriff hat. Dazu können auch Postfächer und Ordner anderer Benutzer gehören, die anderen Benutzern Leserechte gewährt haben.

In einer kleinen Anzahl von Void Blizzard-Angriffen hat Microsoft Threat Intelligence außerdem beobachtet, dass der Angreifer über die Microsoft Teams-Webclient-Anwendung auf Microsoft Teams-Konversationen und -Nachrichten zugegriffen hat. In einigen Fällen hat der Angreifer auch die Microsoft Entra ID-Konfiguration der kompromittierten Organisation mit dem öffentlich verfügbaren Tool AzureHound aufgelistet, um Informationen über die Benutzer, Rollen, Gruppen, Anwendungen und Geräte dieses Mandanten zu erhalten.

Quelle: Microsoft

---

Bild/Quelle: https://depositphotos.com/de/home.html

---