ue, 07 Apr 2026
← VoltarA aplicação da lei e o setor privado interromperam a campanha FrostArmada APT28 de sequestro de roteadores SOHO. O grupo interceptou credenciais da Microsoft por meio de sequestro de DNS.
Uma operação internacional das autoridades policiais em parceria com empresas privadas interrompeu a FrostArmada, uma campanha APT28 que sequestra o tráfego local dos roteadores MikroTik e TP-Link para roubar credenciais de contas da Microsoft. O grupo de ameaça russo APT28, também rastreado como Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 e Sednit, foi vinculado à unidade militar 26165 da Diretoria Principal de Inteligência do Estado-Maior General da Rússia (GRU), 85º Centro Principal de Serviços Especiais (GTsSS). apontam para servidores virtuais privados (VPS) sob seu controle, que atuaram como resolvedores de DNS. Isso permitiu que o APT28 interceptasse o tráfego de autenticação para domínios direcionados e roubasse logins da Microsoft e tokens OAuth.
No seu pico, em dezembro de 2025, o FrostArmada infectou 18.000 dispositivos em 120 países, visando principalmente agências governamentais, autoridades policiais, provedores de TI e hospedagem, e organizações que operam seus próprios servidores. A Microsoft, cujos serviços foram alvo desta campanha, trabalhou em conjunto com o Black Lotus Labs (BLL), a divisão de pesquisa e operações de ameaças da Lumen, para mapear a atividade maliciosa e identificar as vítimas. Com o apoio do FBI, do Departamento de Justiça dos EUA e do governo polaco, a infra-estrutura ofensiva foi colocada offline. Atividade da FrostArmada Os invasores tiveram como alvo roteadores expostos à Internet, principalmente MikroTik e TP-Link, bem como alguns produtos de firewall da Nethesis e modelos mais antigos da Fortinet.
Uma vez comprometidos, os dispositivos se comunicavam com a infraestrutura dos invasores e recebiam alterações na configuração de DNS que redirecionavam o tráfego para nós VPS maliciosos. As novas configurações de DNS foram enviadas automaticamente para dispositivos internos por meio do Dynamic Host Configuration Protocol (DHCP). Quando os clientes consultavam domínios relacionados à autenticação visados pelo agente da ameaça, o servidor DNS retornava o IP do invasor em vez do IP real, redirecionando as vítimas para um proxy adversário no meio (AitM). Redirecionamento de solicitação de DNS no nível do roteador Fonte: Black Lotus Labs O único sinal visível de fraude para a vítima teria sido um aviso de um certificado TLS inválido, que poderia facilmente ter sido descartado.
No entanto, ignorar o alerta deu ao agente da ameaça acesso à comunicação não criptografada da vítima na Internet. “O ator basicamente executou um serviço de proxy como o AitM para o qual o usuário final foi direcionado via DNS”, explicam os pesquisadores do Black Lotus Labs da Lumen. “O único sinal deste ataque seria um aviso pop-up sobre a conexão a uma fonte não confiável devido à configuração ‘quebrar e inspecionar’.” “Se os avisos estavam presentes e eram ignorados ou clicados, o ator fazia proxy das solicitações para os serviços legítimos, coletando os dados no ponto médio e coletando os dados associados à conta de destino, passando o token OAuth válido.” Em alguns casos, porém, os hackers falsificaram as respostas de DNS para determinados domínios, forçando assim os endpoints afetados a se conectarem às infraestruturas de ataque, afirma a Microsoft em um relatório hoje. Lumen relata que a FrostArmada operava em dois clusters distintos, um chamado de ‘equipe de expansão’ dedicado ao comprometimento de dispositivos e crescimento de botnet, e o segundo cuidando das operações de AiTM e coleta de credenciais.
Visão geral das operações da filial de expansão Fonte: Black Lotus Labs Os pesquisadores relatam que a atividade da FrostArmada aumentou drasticamente após um relatório de agosto de 2025 do National Cyber Security Center (NCSC) no Reino Unido descrevendo um conjunto de ferramentas Forest Blizzard que tinha como alvo credenciais e tokens de contas da Microsoft. A Microsoft confirmou que o APT28 realizou ataques AitM contra domínios associados ao serviço Microsoft 365, uma vez que subdomínios do Microsoft Outlook na web também foram alvo. Além disso, a empresa observou esta actividade em servidores pertencentes a três organizações governamentais em África que não estavam alojados em M. infraestrutura Microsoft.
Nesses ataques, “a Forest Blizzard interceptou solicitações de DNS e conduziu a coleta subsequente”. O Black Lotus Labs também observou o ator da ameaça visando entidades com servidores de e-mail locais e “um pequeno número de organizações governamentais” no Norte da África, América Central e Sudeste Asiático. Os investigadores observam que “houve também uma ligação a uma plataforma de identidade nacional num país europeu”. Em um relatório hoje, a agência do Reino Unido afirma que a atividade do AitM impactou tanto as sessões do navegador quanto os aplicativos de desktop, e acredita-se que o sequestro de DNS tenha sido de natureza oportunista para construir um grande conjunto de alvos potenciais e, em seguida, filtrar aqueles de interesse.
Black Lotus Labs publicou um pequeno conjunto de indicadores de comprometimento para os servidores VPS usados durante a campanha FrostArmada: Endereço IP Visto pela primeira vez, pela última vez visto 64.120.31[.]96 19 de maio de 2025 31 de março de 2026 79.141.160[.]78 19 de julho de 2025 31 de março de 2026 23.106.120[.]119 19 de julho de 2025 31 de março de 2026 79.141.173[.]211 19 de julho de 2025 31 de março de 2026 185.117.89[.]32 9 de setembro de 2025 9 de setembro de 2025 185.237.166[.]55 30 de dezembro de 2025 30 de dezembro de 2025 Os pesquisadores observam que os defensores deveriam implementar a fixação de certificados para dispositivos corporativos (laptops, celulares) controlados por meio de uma solução MDM, o que geraria um erro quando o invasor tentasse interceptar e analisar o tráfego em sua infraestrutura VPS. Outra recomendação é minimizar a superfície de ataque através de patches, limitando a exposição na web pública e removendo todos os equipamentos em fim de vida. A Microsoft e o NCSC também fornecem uma lista de IoCs e orientações de proteção para ajudar os defensores a identificar e prevenir ataques de sequestro de DNS.