ue, 07 Apr 2026
← VoltarAPT28 explora roteadores MikroTik e TP-Link, sequestrando DNS para coletar dados de rede. A campanha FrostArmada tem como alvo dispositivos SOHO para espionagem cibernética desde maio de 2025.
O ator de ameaça ligado à Rússia conhecido como APT28 (também conhecido como Forest Blizzard) foi vinculado a uma nova campanha que comprometeu roteadores MikroTik e TP-Link inseguros e modificou suas configurações para transformá-los em infraestrutura maliciosa sob seu controle como parte de uma campanha de espionagem cibernética desde pelo menos maio de 2025. A campanha de exploração em grande escala recebeu o codinome FrostArmada pelo Black Lotus Labs da Lumen, com a Microsoft descrevendo-a como um esforço para explorar residências vulneráveis e pequenos office (SOHO) para sequestrar o tráfego DNS e permitir a coleta passiva de dados de rede. “A técnica deles modificou as configurações de DNS em roteadores comprometidos para sequestrar o tráfego da rede local para capturar e exfiltrar credenciais de autenticação”, disse o Black Lotus Labs em um relatório compartilhado com o The Hacker News. "Quando os domínios direcionados eram solicitados por um usuário, o ator redirecionava o tráfego para um nó do atacante no meio (AitM), onde essas credenciais eram coletadas e exfiltradas.
Essa abordagem permitiu um ataque quase invisível que não exigiu interação do usuário final." A infraestrutura associada à campanha foi interrompida e colocada offline como parte de uma operação conjunta em colaboração com o Departamento de Justiça dos EUA, o Federal Bureau of Investigation e outros parceiros internacionais. Estima-se que a atividade tenha começado já em maio de 2025 em uma capacidade limitada, seguida pela exploração generalizada de roteadores e redirecionamento de DNS com início no início de agosto. No seu pico, em dezembro de 2025, foram encontrados mais de 18.000 endereços IP exclusivos de nada menos que 120 países comunicando-se com a infraestrutura APT28. Estes esforços destacaram principalmente agências governamentais, como ministérios dos Negócios Estrangeiros, autoridades responsáveis pela aplicação da lei e fornecedores terceiros de serviços de correio eletrónico e de nuvem em países do Norte de África, da América Central, do Sudeste Asiático e da Europa.
A equipe do Microsoft Threat Intelligence, em sua análise da campanha, atribuiu a atividade ao APT28 e seu subgrupo rastreado como Storm-2754. A gigante da tecnologia disse que identificou mais de 200 organizações e 5.000 dispositivos de consumo afetados pela infraestrutura DNS maliciosa do agente da ameaça. “Para atores estatais como a Forest Blizzard, o sequestro de DNS permite visibilidade persistente e passiva e reconhecimento em escala”, disse Redmond. “Ao comprometer dispositivos de ponta que estão a montante de alvos maiores, os agentes de ameaças podem tirar vantagem de ativos menos monitorados ou gerenciados para migrar para ambientes corporativos”.
A atividade de sequestro de DNS também facilitou ataques AitM que tornaram possível facilitar o roubo de senhas, tokens OAuth e outras credenciais para serviços relacionados à Web e a e-mail, colocando as organizações em risco de um comprometimento mais amplo. O desenvolvimento marca a primeira vez que o coletivo adversário foi observado usando sequestro de DNS em escala para suportar conexões AiTM de Transport Layer Security (TLS) após explorar dispositivos de ponta, acrescentou a Microsoft. Em alto nível, a cadeia de ataque envolve o APT28 obtendo acesso administrativo remoto a dispositivos SOHO e alterando as configurações de rede padrão para usar resolvedores DNS sob seu controle. A reconfiguração maliciosa faz com que os dispositivos enviem suas solicitações de DNS para servidores controlados por atores.
Isso, por sua vez, faz com que as pesquisas de DNS para aplicativos de e-mail ou páginas de login sejam resolvidas pelo servidor DNS malicioso. O ator da ameaça então tenta conduzir ataques AitM contra essas conexões para roubar credenciais de contas de usuários, enganando as vítimas para que se conectem a uma infraestrutura maliciosa. Alguns desses domínios estão associados ao Microsoft Outlook na web. A Microsoft disse que também identificou atividades AitM destinadas a servidores não hospedados pela Microsoft em pelo menos três organizações governamentais na África.
“Acredita-se que as operações de sequestro de DNS são de natureza oportunista, com o ator ganhando visibilidade de um grande conjunto de usuários-alvo candidatos e, em seguida, filtrando os usuários em cada estágio do processo de exploração. Um segundo cluster de servidores foi encontrado para receber solicitações de DNS. através de roteadores comprometidos e posteriormente encaminhá-los para servidores remotos de propriedade do ator. Este cluster também é avaliado como tendo se envolvido em operações interativas visando um pequeno número de roteadores MikroTik localizados na Ucrânia "O sequestro de DNS da Forest Blizzard e a atividade AitM permitem que o ator conduza a coleta de DNS em organizações confidenciais em todo o mundo e é consistente com a missão de longa data do ator de coletar espionagem contra alvos de inteligência prioritários", disse a Microsoft "Embora tenhamos observado apenas a Forest Blizzard utilizando sua campanha de sequestro de DNS para obter informações.
coleta, um invasor pode usar uma posição AiTM para resultados adicionais, como implantação de malware ou negação de serviço."