Uma operação internacional de autoridades de segurança, em parceria com empresas privadas, desarticulou a FrostArmada, uma campanha atribuída ao grupo russo APT28, também monitorado como Forest Blizzard, Fancy Bear, Sofacy, Strontium, Storm-2754 e Sednit, que comprometeu roteadores MikroTik e TP-Link sem proteção adequada para sequestrar o tráfego DNS e roubar credenciais de contas da Microsoft.
O grupo de ameaça é associado à Diretoria-Geral de Inteligência do Estado-Maior das Forças Armadas da Rússia, a GRU, especificamente à unidade militar 26165 do 85º Centro Principal de Serviços Especiais.
A campanha de exploração em larga escala, batizada de FrostArmada pela Black Lotus Labs, da Lumen, vem ocorrendo desde pelo menos maio de 2025 e teve uma fase mais ampla de exploração de roteadores e redirecionamento de DNS no início de agosto. No auge, em dezembro de 2025, mais de 18.000 endereços IP únicos, distribuídos por ao menos 120 países, foram identificados se comunicando com a infraestrutura da APT28.
Os ataques miraram principalmente dispositivos domésticos e de pequenos escritórios, os chamados SOHO, além de alguns produtos firewall da Nethesis e versões mais antigas da Fortinet. Após o comprometimento, os invasores alteravam as configurações dos equipamentos para transformá-los em infraestrutura maliciosa sob seu controle, redirecionando o tráfego local para servidores privados virtuais, ou VPS, que passaram a atuar como DNS resolvers.
Com isso, a APT28 conseguiu interceptar o tráfego de autenticação destinado a domínios específicos e roubar logins da Microsoft, senhas, tokens OAuth e outras credenciais. A Microsoft descreve a ação como uma tentativa de explorar dispositivos de borda para viabilizar a coleta passiva de dados de rede.
“A técnica utilizada alterou as configurações de DNS em roteadores comprometidos para sequestrar o tráfego da rede local e capturar e exfiltrar credenciais de autenticação”, apontaram os pesquisadores.
“Quando domínios-alvo eram solicitados por um usuário, o ator redirecionava o tráfego para um nó attacker-in-the-middle (AitM), onde essas credenciais eram coletadas e exfiltradas. Essa abordagem permitia um ataque quase invisível, sem necessidade de interação do usuário final.”
No momento em que os clientes consultavam domínios relacionados à autenticação, o servidor DNS retornava o IP do atacante em vez do endereço legítimo, redirecionando as vítimas para um proxy adversary-in-the-middle, ou AitM. O único sinal visível de fraude para a vítima seria um alerta de certificado TLS inválido, algo que poderia ser facilmente ignorado.
Ao fazer isso, no entanto, o alvo acabava expondo sua comunicação na internet ao invasor. Em alguns casos, os atacantes também forjaram respostas de DNS para determinados domínios, forçando os endpoints afetados a se conectar diretamente à infraestrutura maliciosa.
“Na prática, o ator operava um serviço de proxy AitM, para o qual o usuário final era redirecionado via DNS. O único indício perceptível seria um alerta de conexão não confiável”, explicaram os pesquisadores.
Se esses alertas fossem ignorados, o tráfego era repassado para os serviços legítimos, enquanto as credenciais eram coletadas no meio do caminho, permitindo o uso de tokens OAuth válidos.
A infraestrutura associada à campanha foi interrompida e tirada do ar por meio de uma operação conjunta com o Departamento de Justiça dos Estados Unidos, o Federal Bureau of Investigation, o governo da Polônia e outros parceiros internacionais.
Os pesquisadores apontam que a atividade da FrostArmada aumentou após um relatório de agosto de 2025 do National Cyber Security Centre, do Reino Unido, que descreveu ferramentas voltadas ao roubo de credenciais e tokens de contas Microsoft.
Na análise da campanha, a equipe de threat intelligence da Microsoft atribuiu a atividade à APT28 e ao subgrupo rastreado como Storm-2754. A empresa informou ter identificado mais de 200 organizações e 5.000 dispositivos de consumo impactados pela infraestrutura maliciosa de DNS do grupo.
“Para grupos ligados a Estados, o sequestro de DNS oferece visibilidade persistente e passiva, além de reconhecimento em escala”, afirmou a Microsoft.
“Ao comprometer dispositivos de borda, os atacantes conseguem explorar ativos menos monitorados para avançar em ambientes corporativos.”
A Microsoft confirmou que a APT28 executou ataques AitM contra domínios associados ao Microsoft 365, incluindo subdomínios do Outlook na web. Também foram observados casos fora do ecossistema Microsoft, incluindo servidores de organizações governamentais na África.
Além disso, foram identificados alvos com servidores de e-mail locais e organizações governamentais no Norte da África, América Central e Sudeste Asiático, além de conexões com uma plataforma nacional de identidade em um país europeu.
“Acredita-se que essas operações sejam oportunistas, permitindo que o ator filtre alvos com maior valor de inteligência ao longo da cadeia de exploração”, apontaram especialistas.
Foi publicado um conjunto de indicadores de comprometimento (IoCs) relacionados aos servidores VPS utilizados na campanha.
A APT28 também teria explorado roteadores TP-Link WR841N, possivelmente aproveitando a vulnerabilidade
CVE-2023-50224
, que permite bypass de autenticação e extração de credenciais por meio de requisições manipuladas.
Outro conjunto de servidores foi identificado recebendo consultas DNS de roteadores comprometidos e encaminhando-as para infraestrutura controlada pelo grupo, incluindo operações contra dispositivos MikroTik.
Como mitigação, especialistas recomendam implementar certificate pinning em dispositivos corporativos gerenciados, reduzir a superfície de ataque com atualizações e remoção de equipamentos obsoletos, além de limitar a exposição de serviços na internet.
A Microsoft e o NCSC também disponibilizaram indicadores de comprometimento e orientações para ajudar na detecção e prevenção de ataques de DNS hijacking.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...