Campanha de Ataque FrostArmada do APT28
Uma sofisticada operação de ciberespionagem atribuída ao grupo de ameaças APT28, ligado à Rússia e também conhecido como Forest Blizzard, explorou a infraestrutura de rede vulnerável para realizar vigilância em larga escala. Ativa desde pelo menos maio de 2025, a campanha, com o codinome FrostArmada, concentrou-se em comprometer roteadores MikroTik e TP-Link inseguros, transformando-os em ativos maliciosos sob o controle do atacante.
Essa operação teve como alvo principal dispositivos domésticos e de pequenos escritórios (SOHO), explorando configurações vulneráveis para manipular as configurações de DNS. Dessa forma, os invasores conseguiram interceptar e redirecionar o tráfego de rede, possibilitando a coleta passiva e praticamente indetectável de dados.
Índice
Sequestro de DNS: Transformando roteadores em ferramentas de vigilância silenciosas
No cerne da campanha está o sequestro de DNS, uma técnica que permitiu aos atacantes redirecionar o tráfego legítimo através de infraestrutura maliciosa. Uma vez que um roteador era comprometido, suas configurações de DNS eram alteradas para apontar para servidores controlados pelo atacante. Essa manipulação possibilitava a interceptação de dados sensíveis sem exigir qualquer interação do usuário.
Quando os usuários tentavam acessar os domínios visados, suas solicitações eram redirecionadas silenciosamente para nós de ataque no meio (AitM). Esses nós capturavam dados de autenticação, incluindo credenciais de login, e os transmitiam de volta aos atacantes. O processo era altamente secreto, tornando a detecção extremamente difícil.
Análise da cadeia de ataque: da exploração ao roubo de credenciais
O ciclo de vida do ataque seguiu uma sequência estruturada, projetada para maximizar a coleta de dados e minimizar a detecção:
- Comprometimento inicial de roteadores SOHO por meio de vulnerabilidades ou configurações inadequadas.
- Acesso administrativo não autorizado e modificação das configurações de DNS
- Redirecionamento de consultas DNS para resolvedores maliciosos controlados por agentes maliciosos.
- Interceptação do tráfego de usuários por meio da infraestrutura AitM
- Coleta e exfiltração de credenciais, incluindo senhas e tokens OAuth.
Esse método permitiu que os invasores monitorassem as tentativas de login em plataformas de e-mail e serviços da web, incluindo instâncias envolvendo o Microsoft Outlook na web e outros sistemas não hospedados pela Microsoft.
Alcance global e segmentação estratégica
A campanha expandiu-se significativamente ao longo do tempo. Embora tenha começado de forma limitada em maio de 2025, os esforços de exploração em larga escala intensificaram-se no início de agosto. No seu auge, em dezembro de 2025, observou-se a comunicação de mais de 18.000 endereços IP únicos em pelo menos 120 países com a infraestrutura controlada pelos atacantes.
Os principais alvos incluíam:
- Instituições governamentais, como ministérios das relações exteriores e agências de aplicação da lei.
- Provedores de serviços de e-mail e nuvem de terceiros
- Organizações no Norte da África, América Central, Sudeste Asiático e Europa.
Mais de 200 organizações e aproximadamente 5.000 dispositivos de consumo foram afetados, demonstrando a escala e o alcance da operação.
Vulnerabilidades exploradas e táticas de infraestrutura
Os atacantes exploraram vulnerabilidades conhecidas para obter acesso a dispositivos de rede. Notavelmente, os roteadores TP-Link WR841N foram explorados por meio da CVE-2023-50224, uma falha de bypass de autenticação que permitia a extração de credenciais através de requisições HTTP GET especialmente criadas.
Além disso, foi identificado um cluster de infraestrutura secundário responsável por retransmitir o tráfego DNS de roteadores comprometidos para servidores remotos controlados pelo atacante. Esse cluster também realizou operações interativas direcionadas contra roteadores MikroTik selecionados, principalmente na Ucrânia.
Espionagem avançada por meio da invasão de dispositivos de borda
Esta campanha marca uma evolução significativa nas táticas operacionais do APT28. Pela primeira vez, o grupo demonstrou a capacidade de realizar sequestro de DNS em larga escala para facilitar ataques AitM contra conexões TLS (Transport Layer Security).
Ao comprometer dispositivos periféricos, geralmente menos monitorados do que os sistemas corporativos, os atacantes obtiveram visibilidade a montante do tráfego de rede. Esse posicionamento estratégico permitiu que eles identificassem alvos de alto valor e se concentrassem seletivamente em indivíduos ou organizações de interesse para a inteligência.
A operação é considerada de natureza oportunista, inicialmente lançando uma rede ampla e progressivamente restringindo os alvos com base no valor dos dados interceptados.
Interrupção operacional e riscos contínuos
A infraestrutura maliciosa que dava suporte ao FrostArmada foi desmantelada por meio de um esforço coordenado envolvendo o Departamento de Justiça dos EUA, o FBI e parceiros internacionais. Apesar dessa interrupção, as técnicas empregadas destacam os riscos persistentes associados a dispositivos de rede não seguros.
Embora a campanha tenha se concentrado principalmente na coleta de informações, o uso do posicionamento AitM apresenta ameaças mais amplas. Tal acesso poderia viabilizar atividades maliciosas adicionais, incluindo a implantação de malware ou ataques de negação de serviço, aumentando significativamente o impacto potencial sobre as organizações visadas.
Conclusão: Um alerta para a segurança de redes
A campanha FrostArmada destaca a importância crucial de proteger dispositivos periféricos em ambientes de rede. A exploração de roteadores e da infraestrutura de DNS fornece aos atacantes um meio poderoso e furtivo de vigilância, muitas vezes contornando os controles de segurança tradicionais.
Organizações e indivíduos devem priorizar a configuração adequada, a aplicação oportuna de patches e o monitoramento contínuo de dispositivos de rede para mitigar os riscos representados por esses agentes de ameaças avançados.
