APT29 (Cozy Bear, Midnight Blizzard) wird dem russischen Auslandsgeheimdienst SVR zugeordnet und gilt als eine der technisch fähigsten Spionagegruppen. Bekannt durch den SolarWinds-Supply-Chain-Angriff und spätere Attacken auf Microsoft-Konzernkonten, zielt die Gruppe heute vor allem auf Cloud-Umgebungen, OAuth-Anwendungen und Identitäten – leise und langfristig.
APT – staatlich gesteuert (Russland, SVR)
Aktiv – laufende Cloud- und Identitätskampagnen (Stand: Juli 2026)
Spionage – politisch und wirtschaftlich
Regierungen, Diplomatie, IT-Provider, Forschung – und deren Cloud-Umgebungen
Supply-Chain-Angriffe, OAuth-/Token-Missbrauch, Password Spraying, langfristige Persistenz in M365/Entra
Hoch – v. a. über Software-Lieferkette und Cloud-Identitäten
Cloud- und Identity-Monitoring im Cyber Defense Center, Threat Hunting in M365-Umgebungen und forensische Analyse bei Verdacht auf stille Kompromittierung.