Amazon unterbindet Watering-Hole-Kampagne der russischen APT29-Gruppe

Das Bedrohungsanalyseteam von Amazon hat eine von der russischen SVR-nahen APT29-Gruppe durchgeführte "Watering Hole"-Kampagne identifiziert und unterbunden. Die Kampagne nutzte kompromittierte, legitime Webseiten, um Besucher auf bösartige Infrastruktur umzuleiten. Ziel war es, Nutzer dazu zu verleiten, Angreifer-kontrollierte Geräte über Microsofts Gerätecode-Authentifizierungsfluss zu autorisieren.

Dieser opportunistische Ansatz zeigt die fortlaufende Entwicklung von APT29 zur Skalierung ihrer Operationen für eine breitere Sammlung von Geheimdienstinformationen. Die Gruppe hat wiederholt versucht, Zugangsdaten zu erlangen und so die russische Geheimdienstarbeit zu unterstützen.

Amazon hatte bereits im Oktober 2024 eine ähnliche Aktivität durchkreuzt, bei der die Gruppe versuchte, AWS imitierende Domains für Phishing-Zwecke zu nutzen. Google Threat Intelligence Group berichtete im Juni 2025 über Phishing-Kampagnen von APT29 gegen Akademiker und Russland-Kritiker.

Die Identifizierung erfolgte durch eine von Amazon entwickelte Analyse für APT29-Infrastruktur. Die Untersuchung ergab, dass die Akteure diverse Webseiten kompromittiert und darin obfuskierten JavaScript-Code eingeschleust hatten. Laut Amazon ist APT29 in der Lage, ihre Infrastruktur schnell anzupassen und wechselt bei Bedarf von JavaScript- auf serverseitige Umleitungen.