Campagna di attacco APT28 FrostArmada
Una sofisticata operazione di spionaggio informatico attribuita al gruppo APT28, legato alla Russia e noto anche come Forest Blizzard, ha sfruttato infrastrutture di rete vulnerabili per condurre attività di sorveglianza su larga scala. Attiva almeno dal maggio 2025, la campagna, nome in codice FrostArmada, si è concentrata sulla compromissione di router MikroTik e TP-Link non protetti, trasformandoli in risorse dannose sotto il controllo degli aggressori.
Questa operazione ha preso di mira principalmente dispositivi domestici e per piccoli uffici (SOHO), sfruttando configurazioni deboli per manipolare le impostazioni DNS. In questo modo, gli aggressori sono stati in grado di intercettare e reindirizzare il traffico di rete, consentendo una raccolta di dati passiva e in gran parte non rilevabile.
Sommario
Dirottamento DNS: trasformare i router in strumenti di sorveglianza silenziosa
Al centro della campagna c'è il dirottamento DNS, una tecnica che permetteva agli aggressori di reindirizzare il traffico legittimo attraverso infrastrutture malevole. Una volta compromesso un router, le sue impostazioni DNS venivano modificate per puntare a server controllati dagli aggressori. Questa manipolazione consentiva l'intercettazione di dati sensibili senza richiedere alcuna interazione da parte dell'utente.
Quando gli utenti tentavano di accedere ai domini bersaglio, le loro richieste venivano reindirizzate silenziosamente ai nodi Attacker-in-the-Middle (AitM). Questi nodi acquisivano i dati di autenticazione, comprese le credenziali di accesso, e li trasmettevano agli aggressori. Il processo era estremamente subdolo, rendendo il rilevamento molto difficile.
Analisi della catena di attacco: dallo sfruttamento delle vulnerabilità al furto di credenziali.
Il ciclo di vita dell'attacco ha seguito una sequenza strutturata, progettata per massimizzare la raccolta dei dati e al contempo ridurre al minimo il rilevamento:
- Compromissione iniziale dei router SOHO a causa di vulnerabilità o configurazioni deboli
- Accesso amministrativo non autorizzato e modifica delle impostazioni DNS.
- Reindirizzamento delle query DNS verso resolver dannosi controllati da malintenzionati.
- Intercettazione del traffico utente tramite l'infrastruttura AitM
- Raccolta ed esfiltrazione di credenziali, incluse password e token OAuth
Questo metodo consentiva agli aggressori di monitorare i tentativi di accesso a piattaforme di posta elettronica e servizi web, inclusi casi relativi a Microsoft Outlook sul web e altri sistemi non ospitati da Microsoft.
Portata globale e targeting strategico
La campagna si è ampliata notevolmente nel tempo. Iniziata in forma limitata nel maggio 2025, le attività di sfruttamento su vasta scala si sono intensificate all'inizio di agosto. Al suo apice, nel dicembre 2025, sono stati osservati oltre 18.000 indirizzi IP univoci in almeno 120 paesi comunicare con infrastrutture controllate dagli aggressori.
Gli obiettivi primari includevano:
- Istituzioni governative come i ministeri degli affari esteri e le forze dell'ordine
- Fornitori di servizi di posta elettronica e cloud di terze parti
- Organizzazioni in Nord Africa, America Centrale, Sud-est asiatico ed Europa
Sono state colpite oltre 200 organizzazioni e circa 5.000 dispositivi di consumo, a dimostrazione della portata e dell'ampiezza dell'operazione.
Vulnerabilità sfruttate e tattiche infrastrutturali
Gli aggressori hanno sfruttato vulnerabilità note per ottenere l'accesso ai dispositivi di rete. In particolare, i router TP-Link WR841N sono stati sfruttati tramite la vulnerabilità CVE-2023-50224, un difetto di bypass dell'autenticazione che consentiva l'estrazione delle credenziali tramite richieste HTTP GET appositamente create.
Inoltre, è stato identificato un cluster di infrastrutture secondarie, responsabile del reindirizzamento del traffico DNS dai router compromessi a server remoti controllati dagli aggressori. Questo cluster ha anche condotto operazioni interattive mirate contro alcuni router MikroTik, in particolare in Ucraina.
Spionaggio avanzato tramite compromissione dei dispositivi edge
Questa campagna segna una significativa evoluzione nelle tattiche operative di APT28. Per la prima volta, il gruppo ha dimostrato la capacità di condurre dirottamenti DNS su larga scala per facilitare attacchi AitM contro le connessioni Transport Layer Security (TLS).
Compromettendo i dispositivi periferici, spesso meno monitorati rispetto ai sistemi aziendali, gli aggressori hanno ottenuto visibilità a monte sul traffico di rete. Questo posizionamento strategico ha permesso loro di identificare obiettivi di alto valore e di concentrarsi selettivamente su individui o organizzazioni di interesse per l'intelligence.
Si ritiene che l'operazione abbia una natura opportunistica, avendo inizialmente esteso il raggio d'azione per poi restringere progressivamente gli obiettivi in base al valore dei dati intercettati.
Interruzione operativa e rischi in corso
L'infrastruttura malevola a supporto di FrostArmada è stata smantellata grazie a un'azione coordinata che ha coinvolto il Dipartimento di Giustizia degli Stati Uniti, l'FBI e partner internazionali. Nonostante questo smantellamento, le tecniche impiegate evidenziano i rischi persistenti associati ai dispositivi di rete non protetti.
Sebbene la campagna si sia concentrata principalmente sulla raccolta di informazioni, l'utilizzo del posizionamento AitM presenta minacce più ampie. Tale accesso potrebbe consentire ulteriori attività dannose, tra cui la diffusione di malware o attacchi denial-of-service, aumentando significativamente il potenziale impatto sulle organizzazioni prese di mira.
Conclusione: un campanello d’allarme per la sicurezza di rete
La campagna FrostArmada sottolinea l'importanza cruciale della protezione dei dispositivi periferici all'interno degli ambienti di rete. Lo sfruttamento dei router e dell'infrastruttura DNS offre agli aggressori un mezzo di sorveglianza potente e furtivo, che spesso elude i tradizionali controlli di sicurezza.
Sia le organizzazioni che i singoli individui devono dare priorità alla corretta configurazione, all'applicazione tempestiva delle patch e al monitoraggio continuo dei dispositivi di rete per mitigare i rischi posti da tali attori malevoli avanzati.
