El actor de amenazas vinculado a Rusia conocido como APT28 (todavía conocido como Forest Blizzard) ha sido vinculado a una nueva campaña que ha comprometido enrutadores inseguros MikroTik y TP-Link y ha modificado su configuración para convertirlos en infraestructura maliciosa bajo su control como parte de una campaña de ciberespionaje desde al menos mayo de 2025.
La campaña de explotación a gran escalera ha recibido el nombre en esencia Armada helada por Black Lotus Labs de Lumen, y Microsoft lo describe como un esfuerzo para explotar dispositivos de Internet vulnerables en hogares y pequeñas oficinas (SOHO) para secuestrar el tráfico DNS y permitir la sumario pasiva de datos de red.
“Su técnica modificó la configuración de DNS en los enrutadores comprometidos para secuestrar el tráfico de la red circunscrito para capturar y exfiltrar las credenciales de autenticación”, dijo Black Lotus Labs en un noticia compartido con The Hacker News.
“Cuando un agraciado solicitó dominios específicos, el actor redirigió el tráfico a un nodo de atacante intermedio (AitM), donde esas credenciales fueron recolectadas y exfiltradas. Este enfoque permitió un ataque casi invisible que no requirió interacción por parte del agraciado final”.
La infraestructura asociada con la campaña ha sido interrumpida y desconectada como parte de una operación conjunta en colaboración con el Unidad de Ecuanimidad de EE. UU., la Oficina Federal de Investigaciones y otros socios internacionales.
Se estima que la actividad comenzó en mayo de 2025 con una capacidad limitada, seguida de una explotación generalizada de enrutadores y una redirección de DNS a partir de principios de agosto. En su punto mayor en diciembre de 2025, se encontraron más de 18.000 direcciones IP únicas de no menos de 120 países comunicándose con la infraestructura APT28.
Estos esfuerzos se centraron principalmente en agencias gubernamentales, como ministerios de relaciones exteriores, fuerzas del orden y proveedores externos de servicios de nubarrón y correo electrónico en países del meta de África, Centroamérica, el sudeste oriental y Europa.
El equipo de Microsoft Threat Intelligence, en su exploración de la campaña, atribuyó la actividad a APT28 y su subgrupo rastreado como Storm-2754. El cíclope tecnológico dijo que identificó más de 200 organizaciones y 5.000 dispositivos de consumo afectados por la infraestructura DNS maliciosa del actor de amenazas.
“Para los actores de los estados-nación como Forest Blizzard, el secuestro de DNS permite una visibilidad y un gratitud a escalera persistente y pasivo”, dijo Redmond. “Al comprometer los dispositivos de borde que están aguas hacia lo alto de objetivos más grandes, los actores de amenazas pueden servirse activos menos monitoreados o administrados para pivotar con destino a entornos empresariales”.
La actividad de secuestro de DNS todavía ha facilitado los ataques AitM que hicieron posible proporcionar el robo de contraseñas, tokens OAuth y otras credenciales para servicios web y relacionados con el correo electrónico, poniendo a las organizaciones en aventura de sufrir un compromiso más amplio.
El ampliación marca la primera vez que se observa que el colectivo adversario utiliza el secuestro de DNS a escalera para conceder conexiones AiTM de Transport Layer Security (TLS) a posteriori de explotar dispositivos de borde, agregó Microsoft.
En un nivel suspensión, la prisión de ataque implica que APT28 obtenga paso funcionario remoto a dispositivos SOHO y cambie las configuraciones de red predeterminadas para usar solucionadores de DNS bajo su control. La reconfiguración maliciosa hace que los dispositivos envíen sus solicitudes de DNS a servidores controlados por actores.
Esto, a su vez, hace que el servidor DNS malvado resuelva las búsquedas de DNS para aplicaciones de correo electrónico o páginas de inicio de sesión. Luego, el actor de amenazas intenta realizar ataques AitM contra esas conexiones para robar las credenciales de las cuentas de los usuarios engañando a las víctimas para que se conecten a una infraestructura maliciosa.
Algunos de estos dominios están asociados con Microsoft Outlook en la web. Microsoft dijo que todavía identificó actividad de AitM dirigida a servidores no alojados por Microsoft en al menos tres organizaciones gubernamentales en África.
“Se cree que las operaciones de secuestro de DNS son de naturaleza oportunista, ya que el actor obtiene visibilidad de un gran rama de usuarios objetivo candidatos y luego filtra a los usuarios en cada etapa de la prisión de explotación para clasificar a las víctimas de probable valía de inteligencia”, dijo el Centro Doméstico de Seguridad Cibernética del Reino Unido (NCSC).
Se dice que APT28 aprovechó los enrutadores TP-Link WR841N para sus operaciones de envenenamiento de DNS probablemente aprovechando CVE-2023-50224 (puntaje CVSS: 6.5), una vulnerabilidad de omisión de autenticación que podría estilarse para extraer credenciales almacenadas a través de solicitudes HTTP GET especialmente diseñadas.
Se ha descubierto que un segundo rama de servidores recibe solicitudes de DNS a través de enrutadores comprometidos y después las reenvía a servidores remotos propiedad de los actores. Asimismo se considera que este rama ha participado en operaciones interactivas dirigidas a un pequeño número de enrutadores MikroTik ubicados en Ucrania.
“El secuestro de DNS de Forest Blizzard y la actividad AitM permiten al actor realizar sumario de DNS en organizaciones sensibles en todo el mundo y es consistente con el mandato de larga data del actor de resumir espionaje contra objetivos de inteligencia prioritarios”, dijo Microsoft.
“Aunque sólo hemos observado que Forest Blizzard utiliza su campaña de secuestro de DNS para resumir información, un atacante podría utilizar una posición AiTM para obtener resultados adicionales, como la implementación de malware o la denegación de servicio”.
