Campanha FrostArmada alterou configurações de DNS em dispositivos de borda para viabilizar ataques AitM, coleta passiva de tráfego e roubo de credenciais de serviços web e e-mail.
| Componente | Roteadores SOHO MikroTik e TP-Link, incluindo TP-Link WR841N, usados como infraestrutura de DNS controlada pelo operador. |
| Vetor | Acesso administrativo remoto a dispositivos inseguros, com alteração de resolvers DNS e provável abuso da vulnerabilidade CVE-2023-50224 em roteadores TP-Link WR841N para extração de credenciais armazenadas. |
| Impacto | Redirecionamento de consultas DNS para servidores controlados pelo APT28, ataques AitM contra conexões de serviços web e e-mail, e roubo de senhas, tokens OAuth e outras credenciais. |
| Prioridade | Auditar roteadores de borda, validar resolvers DNS configurados, remover administração remota desnecessária, atualizar firmware e investigar autenticações anômalas em serviços de e-mail e nuvem. |
| Escala | No pico de dezembro de 2025, mais de 18.000 endereços IP únicos em pelo menos 120 países se comunicaram com infraestrutura associada à campanha. |
| Alvos | A atividade priorizou órgãos governamentais, ministérios de relações exteriores, forças de segurança, provedores terceiros de e-mail e nuvem, além de setores militar, governamental e de infraestrutura crítica. |
O APT28, também rastreado como Forest Blizzard, foi associado a uma campanha de espionagem chamada FrostArmada que comprometeu roteadores domésticos e de pequenos escritórios para controlar a resolução DNS de redes inteiras. A operação foi observada desde pelo menos maio de 2025, começou de forma limitada e passou a ter exploração ampla de roteadores e redirecionamento de DNS no início de agosto de 2025. A atividade explorou a posição privilegiada de dispositivos de borda: quando um roteador define o resolver usado por clientes internos, o operador que controla esse caminho consegue observar nomes consultados e selecionar conexões de maior valor para interceptação.
A técnica central não dependia de interação direta do usuário final. Após obter acesso administrativo aos roteadores, o operador alterava configurações padrão para apontar consultas DNS a servidores sob seu controle. Quando usuários ou aplicações tentavam acessar domínios de e-mail, autenticação ou serviços web, o resolver malicioso podia responder com registros fraudulentos para domínios específicos. Essa posição viabilizava ataques do tipo AitM contra tráfego associado a login, com foco em senhas, tokens OAuth e outras credenciais. A campanha também permitia coleta passiva de dados de rede, útil para reconhecimento e seleção de vítimas de interesse de inteligência.
A infraestrutura relacionada foi interrompida em uma operação técnica autorizada judicialmente, com participação do Departamento de Justiça dos Estados Unidos, FBI e parceiros internacionais. A parte norte-americana da rede foi neutralizada sob a Operação Masquerade. A ação atingiu a infraestrutura operacional, mas não elimina a necessidade de resposta defensiva nos ambientes afetados: roteadores comprometidos podem manter configurações indevidas, credenciais de administração podem ter sido expostas e contas acessadas por serviços web ou e-mail podem exigir revisão de sessão, rotação de credenciais e análise de autenticação.
A cadeia de ataque começa com o comprometimento de roteadores SOHO vulneráveis ou mal administrados. O caso inclui dispositivos MikroTik e TP-Link, com destaque para o TP-Link WR841N em operações de envenenamento de DNS. Para esse modelo, a atividade provavelmente explorou CVE-2023-50224, uma falha de bypass de autenticação com pontuação CVSS 6.5 que pode permitir a extração de credenciais armazenadas por meio de requisições HTTP GET especialmente construídas. O ponto relevante para defesa é a condição de exposição: roteadores com administração acessível, firmware vulnerável, credenciais reutilizadas ou configurações fracas oferecem ao operador o caminho para alterar parâmetros de rede sem tocar diretamente nas estáções internas.
Depois de obter controle administrativo, o operador substitui os resolvers DNS legítimos por servidores controlados pelo APT28. A mudança é silenciosa para usuários comuns, porque a navegação e os clientes de e-mail continuam solicitando nomes normalmente. A diferença está na entidade que responde às consultas. Em consultas de baixo interesse, o resolver pode encaminhar ou responder de forma aparentemente normal, reduzindo ruído operacional. Em consultas selecionadas, especialmente associadas a aplicações de e-mail, páginas de autenticação e servidores governamentais, o resolver pode retornar registros fraudulentos que direcionam a conexão a um nó intermediário controlado pelo operador.
A posição AitM permite ao operador tentar capturar credenciais quando a vítima se conecta à infraestrutura fraudulenta. O material observado inclui senhas, tokens OAuth e outras credenciais vinculadas a serviços web e de e-mail. A atividade também atingiu domínios associados ao Outlook na web e servidores não hospedados pela Microsoft em pelo menos três organizações governamentais na África. O uso de DNS como ponto de controle amplia a escala da campanha porque um único dispositivo de borda comprometido pode influenciar todos os clientes que dependem dele para resolução de nomes, incluindo estáções corporativas, usuários remotos, dispositivos móveis e sistemas de automação local.
A seleção de vítimas pareceu oportunista em sua fase inicial: o operador comprometia um grande conjunto de dispositivos, obtinha visibilidade de muitas consultas e filtrava gradualmente usuários e organizações de maior valor. Essa lógica é compatível com espionagem, porque permite observar padrões de acesso antes de decidir quais conexões merecem interceptação ativa. O conjunto de alvos citados inclui ministérios de relações exteriores, órgãos de aplicação da lei, provedores terceiros de e-mail e nuvem, organizações militares, entidades governamentais e setores de infraestrutura crítica em regiões da África do Norte, América Central, Sudeste Asiático e Europa.
A superfície exposta concentra-se em dispositivos de borda com administração remota, firmware defasado, credenciais armazenadas recuperáveis ou configurações DNS alteráveis por um invasor. Roteadores SOHO costumam ficar fora da telemetria corporativa tradicional, mas podem estar upstream de usuários, escritórios pequenos, redes de terceiros, fornecedores, residências de executivos, unidades remotas e ambientes híbridos. Essa assimetria favorece campanhas de inteligência: o atacante não precisa comprometer imediatamente um servidor corporativo para observar consultas de nomes e tentar redirecionar autenticações sensíveis.
A escala relatada reforça o risco operacional. Em dezembro de 2025, mais de 18.000 endereços IP únicos, distribuídos em pelo menos 120 países, comunicavam-se com infraestrutura associada ao APT28. A análise também identificou mais de 200 organizações e 5.000 dispositivos de consumo impactados pela infraestrutura maliciosa de DNS. Esses números indicam uma base ampla de roteadores usados como sensores e pontos de redirecionamento, mas não significam que todos os ambientes sofreram roubo confirmado de credenciais. A atividade observada aponta para coleta, seleção e interceptação direcionada quando consultas específicas interessavam ao operador.
Um segundo agrupamento de servidores recebia consultas DNS por meio de roteadores comprometidos e as encaminhava a servidores remotos pertencentes ao operador. Esse agrupamento também foi associado a operações interativas contra um pequeno número de roteadores MikroTik localizados na Ucrânia. A presença desse fluxo separado é importante para defesa porque mostra que a infraestrutura não se limitava a um único padrão de resolver malicioso. Ambientes afetados podem ter visto mudanças de DNS, encaminhamento anômalo, administração interativa do roteador ou combinação desses comportamentos.
- Roteadores MikroTik e TP-Link expostos, especialmente quando administrados remotamente ou sem firmware atualizado.
- Dispositivos TP-Link WR841N em que a falha
CVE-2023-50224possa permitir extração de credenciais armazenadas. - Redes que usam roteadores SOHO como gateway principal para usuários, escritórios pequenos, fornecedores ou unidades remotas.
- Contas de e-mail, aplicações web e serviços de nuvem acessados a partir de redes cujo resolver DNS foi alterado pelo operador.
A investigação deve começar nos próprios roteadores, porque a alteração de DNS é o pivô da campanha. Equipes devem comparar resolvers configurados com o padrão aprovado pela organização ou pelo provedor, verificar mudanças recentes de configuração e revisar logs de administração quando disponíveis. Em dispositivos SOHO, a retenção de logs pode ser limitada; por isso, a ausência de registro não deve encerrar a análise. Mudanças inexplicadas em servidores DNS, administração remota habilitada, contas administrativas desconhecidas e firmware antigo são sinais suficientes para justificar contenção e reinicialização controlada de configuração.
No lado de identidade e aplicações, a telemetria deve buscar autenticações realizadas após tráfego originado de redes suspeitas, mudanças de sessão, falhas seguidas de sucesso, emissão incomum de tokens OAuth e acessos a serviços de e-mail a partir de localidades ou dispositivos não habituais. Como o operador usou a posição DNS para tentar AitM contra serviços web, a investigação precisa correlacionar consultas DNS, logs de proxy, eventos de TLS, alertas de certificado e registros de identidade. Uma cadeia relevante pode incluir troca de resolver no roteador, resolução anômala de domínio de login, conexão a endereço inesperado e autenticação bem-sucedida de uma conta de alto valor.
Também vale procurar sinais indiretos em redes que não possuem telemetria completa de DNS. Alterações de latência em login, certificados inesperados, erros intermitentes de validação TLS, páginas de autenticação com comportamento incomum e sessões criadas em horários incompatíveis podem indicar tentativa de interposição. Esses sinais devem ser tratados como indícios, não como prova isolada. A confirmação depende de correlação com configuração do gateway, histórico de DNS, registros de autenticação e, quando existir, captura de eventos de endpoint ou proxy.
- Resolvers DNS configurados no roteador que não correspondem aos servidores aprovados pela organização, provedor ou política de rede.
- Acesso administrativo ao roteador a partir de origens incomuns, especialmente após exposição de interfaces de gerenciamento à internet.
- Consultas DNS para serviços de e-mail ou autenticação resolvendo para infraestrutura diferente da esperada.
- Autenticações em serviços web e e-mail logo após eventos anômalos de DNS, com foco em senhas, tokens OAuth e sessões persistentes.
- Erros de TLS, certificados inesperados ou redirecionamentos incomuns em aplicações de login acessadas por redes afetadas.
- Roteadores MikroTik na Ucrânia ou em ambientes relacionados com sinais de operação interativa, quando aplicável ao escopo da organização.
A resposta deve priorizar a recuperação de controle sobre os dispositivos de borda. Roteadores suspeitos precisam ter a configuração exportada para análise, a administração remota desabilitada quando não for indispensável, o firmware atualizado e as credenciais administrativas trocadas por senhas únicas. Quando a integridade do equipamento não puder ser garantida, a reinstalação limpa do firmware ou substituição do dispositivo é mais adequada do que apenas corrigir o campo de DNS. Em redes corporativas, resolvers devem ser definidos por política central e monitorados para impedir que gateways locais imponham servidores não autorizados.
A correção do roteador não encerra o incidente se houve possibilidade de interceptação de credenciais. Contas usadas a partir de redes afetadas devem passar por rotação de senha, revogação de sessões, invalidação de tokens OAuth suspeitos e revisão de consentimentos de aplicações. Contas privilegiadas, caixas de e-mail sensíveis e usuários ligados a governo, defesa, infraestrutura crítica, fornecedores de nuvem ou operações internacionais devem receber prioridade. A autenticação multifator reduz parte do impacto, mas não substitui a análise de tokens e sessões já emitidos, porque ataques AitM podem mirar credenciais e artefatos de autenticação reutilizáveis.
A arquitetura defensiva também precisa tratar roteadores SOHO como ativos de risco, não como infraestrutura invisível. Ambientes híbridos devem registrar gateways usados por equipes remotas e escritórios pequenos, padronizar firmware, restringir gerenciamento, inventariar modelos vulneráveis e auditar DNS de forma recorrente. Para provedores de serviço e equipes de resposta, a campanha mostra que comprometimentos de borda podem ser usados como infraestrutura de espionagem distribuída. A mitigação mais eficaz combina hardening do dispositivo, monitoramento de resolução DNS, telemetria de identidade e processo claro de resposta quando um resolver não autorizado aparece em uma rede confiável.
- Atualizar firmware de roteadores MikroTik e TP-Link e validar se modelos TP-Link WR841N expostos estão corrigidos ou substituídos.
- Remover administração remota desnecessária, restringir interfaces de gerenciamento por origem confiável e trocar credenciais administrativas.
- Restaurar resolvers DNS aprovados e monitorar alterações futuras de configuração em gateways e DHCP.
- Revogar sessões, revisar tokens OAuth e trocar senhas de contas acessadas a partir de redes com DNS suspeito.
- Investigar acessos a Outlook na web, e-mail corporativo, serviços de nuvem e aplicações governamentais associados a resoluções anômalas.
- Tratar roteadores SOHO de escritórios pequenos, fornecedores e usuários sensíveis como parte do inventário de segurança, com dono, versão, política e rotina de auditoria.
0 Comentários