Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Campanya d'atac de FrostArmada a l'APT28

Campanya d'atac de FrostArmada a l'APT28

El Mezo el Amenaça persistent avançada (APT), Programari maliciós, Phishing
Traduir a:

Una sofisticada operació de ciberespionatge atribuïda al grup d'amenaces APT28, vinculat a Rússia, també conegut com a Forest Blizzard, ha aprofitat una infraestructura de xarxa vulnerable per dur a terme vigilància a gran escala. Activa des d'almenys el maig del 2025, la campanya, amb nom en clau FrostArmada, es va centrar en comprometre encaminadors insegurs MikroTik i TP-Link, transformant-los en actius maliciosos sota el control d'un atacant.

Aquesta operació es va dirigir principalment a dispositius domèstics i de petites oficines (SOHO), explotant configuracions febles per manipular la configuració del DNS. D'aquesta manera, els atacants van poder interceptar i redirigir el trànsit de xarxa, permetent la recopilació passiva i en gran part indetectable de dades.

Segrest de DNS: convertir els encaminadors en eines de vigilància silenciosa

Al centre de la campanya hi ha el segrest de DNS, una tècnica que permetia als atacants redirigir el trànsit legítim a través d'una infraestructura maliciosa. Un cop compromès un encaminador, la seva configuració de DNS es modificava per apuntar a servidors controlats per l'atacant. Aquesta manipulació permetia la intercepció de dades sensibles sense necessitat de cap interacció de l'usuari.

Quan els usuaris intentaven accedir a dominis objectiu, les seves sol·licituds es redirigien silenciosament als nodes Attacker-in-the-Middle (AitM). Aquests nodes capturaven dades d'autenticació, incloses les credencials d'inici de sessió, i les transmetien als atacants. El procés era altament encobert, cosa que feia que la detecció fos extremadament difícil.

Desglossament de la cadena d’atac: de l’explotació al robatori de credencials

El cicle de vida de l'atac va seguir una seqüència estructurada dissenyada per maximitzar la recopilació de dades i minimitzar la detecció:

  • Compromís inicial dels encaminadors SOHO a causa de vulnerabilitats o configuracions febles
  • Accés administratiu no autoritzat i modificació de la configuració DNS
  • Redirecció de consultes DNS a resolutors maliciosos controlats per actors
  • Intercepció del trànsit d'usuaris a través de la infraestructura AitM
  • Recollida i exfiltració de credencials, incloses les contrasenyes i els tokens d'OAuth

Aquest mètode permetia als atacants supervisar els intents d'inici de sessió a plataformes de correu electrònic i serveis web, inclosos els casos que implicaven Microsoft Outlook a la web i altres sistemes que no estan allotjats per Microsoft.

Abast global i segmentació estratègica

La campanya es va expandir significativament amb el temps. Tot i que va començar amb una capacitat limitada el maig de 2025, els esforços d'explotació generalitzada van augmentar a principis d'agost. En el seu punt àlgid el desembre de 2025, es van observar més de 18.000 adreces IP úniques en almenys 120 països comunicant-se amb infraestructura controlada per atacants.

Els objectius principals incloïen:

  • Institucions governamentals com ara ministeris d'afers exteriors i organismes encarregats de fer complir la llei
  • Proveïdors de correu electrònic i serveis al núvol de tercers
  • Organitzacions del nord d'Àfrica, Amèrica Central, el sud-est asiàtic i Europa

Més de 200 organitzacions i aproximadament 5.000 dispositius de consum es van veure afectats, cosa que demostra l'abast i l'abast de l'operació.

Vulnerabilitats explotades i tàctiques d’infraestructura

Els atacants van aprofitar vulnerabilitats conegudes per obtenir accés a dispositius de xarxa. En particular, els encaminadors TP-Link WR841N van ser explotats mitjançant CVE-2023-50224, una falla d'elusió d'autenticació que permetia l'extracció de credencials mitjançant sol·licituds HTTP GET especialment dissenyades.

A més, es va identificar un clúster d'infraestructura secundària, responsable de retransmetre el trànsit DNS des dels encaminadors compromesos fins a servidors remots controlats per atacants. Aquest clúster també va dur a terme operacions interactives dirigides contra determinats encaminadors MikroTik, particularment a Ucraïna.

Espionatge avançat mitjançant el compromís de dispositius perifèrics

Aquesta campanya marca una evolució significativa en les tàctiques operatives d'APT28. Per primera vegada, el grup ha demostrat la capacitat de dur a terme segrestos de DNS a escala per facilitar atacs AitM contra connexions de seguretat de la capa de transport (TLS).

En comprometre els dispositius perifèrics, sovint menys monitoritzats que els sistemes empresarials, els atacants van obtenir visibilitat aigües amunt del trànsit de la xarxa. Aquest posicionament estratègic els va permetre identificar objectius d'alt valor i centrar-se selectivament en individus o organitzacions d'interès d'intel·ligència.

Es considera que l'operació és de naturalesa oportunista, inicialment llançant una xarxa àmplia i reduint progressivament els objectius en funció del valor de les dades interceptades.

Interrupció operativa i riscos continus

La infraestructura maliciosa que donava suport a FrostArmada ha estat desmantellada mitjançant un esforç coordinat amb el Departament de Justícia dels Estats Units, l'Oficina Federal d'Investigació i socis internacionals. Malgrat aquesta interrupció, les tècniques emprades posen de manifest els riscos persistents associats amb dispositius de xarxa no segurs.

Tot i que la campanya s'ha centrat principalment en la recopilació d'intel·ligència, l'ús del posicionament AitM presenta amenaces més àmplies. Aquest accés podria permetre activitats malicioses addicionals, com ara el desplegament de programari maliciós o atacs de denegació de servei, cosa que augmentaria significativament l'impacte potencial en les organitzacions objectiu.

Conclusió: una crida d’atenció per a la seguretat de la xarxa

La campanya FrostArmada subratlla la importància crítica de protegir els dispositius perimetrals dins dels entorns de xarxa. L'explotació dels encaminadors i la infraestructura DNS proporciona als atacants un mitjà de vigilància potent i discret, sovint evitant els controls de seguretat tradicionals.

Tant les organitzacions com els individus han de prioritzar la configuració adequada, l'aplicació oportuna de pegats i la supervisió contínua dels dispositius de xarxa per mitigar els riscos que plantegen aquests actors d'amenaces avançats.

Tendència

Més vist

Carregant...