Es nutzte eine damals unbekannte Schwachstelle im Microsoft Outlook-E-Mail-Dienst und kompromittierte laut deutschen Behörden die Server der betroffenen Unternehmen. "Heute können wir eindeutig sagen, dass wir diesen Cyber-Angriff einer Gruppe namens APT28 zuordnen können, die vom Militärgeheimdienst Russlands gelenkt wird", sagte die deutsche Außenministerin Annalena Baerbock auf einer Pressekonferenz während eines Besuchs in Australien. "Mit anderen Worten, es war ein staatlich geförderter russischer Cyberangriff auf Deutschland, und das ist absolut unerträglich und inakzeptabel und wird Konsequenzen haben."

Die Tschechische Republik sagte, dass auch ihre Institutionen ins Visier genommen wurden. "Tschechien ist seit langem Ziel der APT28. Solche Verstöße verstoßen gegen die UN-Normen des verantwortungsvollen Staatsverhaltens", hieß es in einer Erklärung des Außenministeriums. APT28, auch bekannt als Fancy Bear oder Pawn Storm, wurde Dutzender Cyber-Angriffe in Ländern auf der ganzen Welt beschuldigt. Das britische National Cyber Security Centre hat die Einheit als "einen hochqualifizierten Bedrohungsakteur" beschrieben, der "Werkzeuge wie X-Tunnel, X-Agent und CompuTrace verwendet hat, um Zielnetzwerke zu durchdringen".

Das deutsche Innenministerium sagte, eine Reihe von Cyber-Angriffen, die dem russischen Militärgeheimdienst GRU zuzurechnen sind, habe auch den Logistik-, Verteidigungs-, Luft- und Raumfahrt- und IT-Sektor des Landes ins Visier genommen und die Sicherheitslücke in Microsoft Outlook ausgenutzt, um E-Mail-Konten zu kompromittieren. "Die russischen Cyberangriffe sind eine Bedrohung für unsere Demokratie, der wir entschlossen entgegentreten", sagte die Innenministerin Nancy Faeser und fügte hinzu, dass Deutschland mit der EU und der Nato handelt. "Unter keinen Umständen werden wir zulassen, dass wir uns vom russischen Regime einschüchtern lassen."

Sie sagte, es sei besonders wichtig, solche Angriffe aus Russland vor den Europawahlen im Juni zu kontern. Die EU verurteilte am Freitag die "unverantwortlichen" Cyber-Angriffe auf Deutschland und die Tschechische Republik und enthüllte, dass "staatliche Institutionen, Agenturen und Einrichtungen in Mitgliedsstaaten, einschließlich in Polen, Litauen, der Slowakei und Schweden zuvor Ziel desselben Bedrohungsakteurs waren".

Die Nato verurteilte die "bösartigen" Angriffe und sagte, sie seien eine Erinnerung daran, dass "Cyber-Bedrohungsakteure beharrlich versuchen, das Bündnis zu destabilisieren". Die Einberufung eines Botschafters oder hochrangigen Beamten gilt als starkes diplomatisches Instrument. Ein Sprecher des deutschen Außenministeriums sagte, der amtierende Geschäftsmann d’affaires sei zu einem Treffen eingeladen worden, da der Vorfall zeige, "dass die russische Bedrohung für Sicherheit und Frieden in Europa real und es enorm ist"

Deutschland war zum Zeitpunkt des Angriffs 2023 auf eine Entscheidung zu, Leopold-2-Kampfpanzer an die Front zu schicken, nachdem die Ukraine eine Flotte von 300 aus Europa gefordert hatte. Die EU-Kampfeinheit für Computersicherheit, Cert-EU, stellte im vergangenen Jahr einen deutschen Medienbericht fest, dass eine SPD-Exekutive im Januar 2023 bei einem Cyber-Angriff ins Visier genommen wurde, "was zu einer möglichen Datenexposition führen". Berlin sagte auch, russische Aktivisten-Hacker hätten mehrere deutsche Websites als Reaktion auf ihre Entscheidung, Panzer in die Ukraine zu schicken, offline geschaltet, wenn auch mit wenig greifbarem Effekt.

Die prorussische Hackergruppe Killnet machte sich damals für den Angriff verantwortlich, wobei der Kreml-Sprecher Dmitri Peskow sagte: "Wir sind uns nicht bewusst, was Killnet ist. Wir fragen uns ehrlich, warum eine Gruppe von Hackern mit Russland und nicht mit einem anderen europäischen Land verbunden ist." Cyber-Angriffe werden von den europäischen Staats- und Regierungschefs offiziell als Teil des "hybriden" Krieges Russlands gegen die Ukraine und die EU angesehen. Desinformation in den sozialen Medien und Doppelgängern oder Fake-News-Websites, die fast genau wie legitime Medien aussehen, sind Teil der vom Kreml eingesetzten Waffen, mit mehr als 17.000 Desinformationseinheiten, die von der EU seit Beginn des Krieges identifiziert wurden.

Das prorussische Doppelgänger-Netzwerk von Standorten wurde 2022 aufgedeckt und ist immer noch aktiv. Im April behauptete eine gefälschte Website des Spiegel, der deutsche Finanzminister Christian Lindner "beraube" Rentner. Der Chefdiplomat der EU, Josep Borrell, sagte Anfang dieses Jahres, dass Russland Desinformation verwendet, um die Glaubwürdigkeit der Mainstream-Parteien zu untergraben, Samen des Misstrauens in die Demokratie zu säen und Hass gegen Minderheiten zu schaffen. Er sagte, diese neue Art von Kriegsführung "bezieht sich nicht mit Bomben, die dich töten", sondern Worte und Ideen, die "Sie kolonisieren".

Das Weltwirtschaftsforum stufte Desinformation und Cyber-Angriffe – sogenannte ausländische Informationsmanipulationen und -einmischungen – als "das zweitgrößte Risiko ein, dem die Welt in diesem Jahr ausgesetzt sein wird", während die Nato sagte, sie behand ere es als genauso wichtig wie physische Waffen.

Baerbocks Kommentare kommen zwei Monate, nachdem russische Medien eine Audioaufnahme eines Treffens hochrangiger deutscher Militärbeamter veröffentlicht hatten, nachdem sich ein Teilnehmer durch eine "unautorisierte Verbindung" eingewählt hatte, die zu dem Leck führte. Deutschland hat gesagt, dass es mit EU-Ländern an möglichen Sanktionen gegen neue Personen arbeiten wird, die mit APT28 zusammenarbeiten, die zuvor nach einem Angriff auf den Bundestag im Jahr 2015 sanktioniert wurden.