Fancy Bear skruer ned for kompleksitet – og op for effektiviten

Eskil Sørensen

01.12.2026 10:59

Russisk APT-gruppe satser på simple phishing-angreb.

Den russiske APT-gruppe Fancy Bear (APT28), som bl.a. kendt for sine cyberoperationer mod vestlige regeringer og institutioner i 2010’erne, har ændret taktik. Nye analyser viser, at gruppen nu satser på simpel credential harvesting frem for avancerede malware-kampagner – og det virker.

Det skriver Dark Reading på basis af en analyse fra Recorded Future.

Fra sofistikeret til simpelt og billigt

Ifølge Recorded Future har Fancy Bear siden februar 2025 gennemført målrettede phishing-angreb mod organisationer i Balkan, Mellemøsten og Centralasien. Angrebene er tilsyneladende bemærkelsesværdigt enkle: phishing-mails på modtagernes modersmål, links til falske login-sider og brug af legitime PDF-dokumenter som lokkemad. Når ofrene indtaster deres loginoplysninger til tjenester som Sophos VPN, Google eller Microsoft Outlook, bliver de blot sendt videre til den rigtige login-side – en detalje, der får angrebet til at virke som en harmløs fejl.

Fancy Bear skal ifølge Dark Reading benytte sig af kommercielle VPN-tjenester og gratis hostingplatforme i stedet for skræddersyede værktøjer. Det gør kampagnerne billige og hurtigt skalerbare, svære at spore, da traditionelle metoder som serverregistrering og finansielle spor ikke virker og let at nedlukke og genopbygge. Det reducerer risikoen for at blive opdaget.

Ifølge Recorded Future er dette ikke et tegn på svaghed, men en strategisk udvikling: lav kompleksitet giver høj vedholdenhed, lavt teknisk fingeraftryk og bedre mulighed for at forblive under radaren.

Langt fra Danmark

De mål, som Recordet Future har fået indblik i inkluderer :

En IT-virksomhed i Usbekistan
Et europæisk tænketank
En militær organisation i Nordmakedonien
Forskere inden for energi og atomkraft i Tyrkiet

Selvom listen virker fragmenteret, som Dark Reading skriver, så peger eksperter på, at målene er nøje udvalgt i forhold til GRU’s efterretningsprioriteter. Ofte fungerer mindre organisationer som springbræt til mere værdifulde mål via rejser, logistik og forsyningskæder.

At målene er langt fra Danmark, betyder ikke, at man ikke skal tage det alvorligt. Analysen viser, at simpel phishing stadig er en af de mest effektive metoder – selv for statssponsorerede aktører med adgang til avancerede ressourcer. Når angrebene er billige, hurtigt kan tilpasses og næsten ikke efterlader spor, bliver de sværere at opdage og stoppe.

Læs mere

https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-credentials-global-targets

Information