Eine internationale Operation von Strafverfolgungsbehörden in Partnerschaft mit privaten Unternehmen hat FrostArmada, eine **APT28**-Kampagne, die den lokalen Datenverkehr von **MikroTik**- und **TP-Link**-Routern zur Aneignung von Microsoft-Kontoinformationen übernimmt, zerschlagen. Die russische Bedrohungsgruppe APT28, auch bekannt als Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 und Sednit, wird mit der russischen Hauptaufklärung der Hauptverwaltung des Generalstabs (GRU) 85. Hauptspezialdienstzentrum (GTsSS) Militäreinheit 26165 in Verbindung gebracht. Bei den FrostArmada-Angriffen kompromittierten die Hacker hauptsächlich kleine Büro-/Heimbüro-(SOHO)-Router und änderten die Domain Name System (DNS)-Einstellungen, um auf virtuelle private Server (VPS) unter ihrer Kontrolle zu verweisen, die als DNS-Resolver fungierten. Dies ermöglichte es APT28, den Authentifizierungsverkehr zu den Ziel-Domains abzufangen und Microsoft-Logins sowie OAuth-Tokens zu stehlen. Auf seinem Höhepunkt im Dezember 2025 infizierte FrostArmada 18.000 Geräte in 120 Ländern und richtete sich hauptsächlich gegen Regierungsbehörden, Strafverfolgungsbehörden, IT- und Hosting-Anbieter sowie Organisationen, die ihre eigenen Server betreiben. **Microsoft**, dessen Dienste von dieser Kampagne betroffen waren, arbeitete mit **Black Lotus Labs (BLL)**, der Threat-Research- und Operationsabteilung von Lumen, zusammen, um die bösartige Aktivität zu kartieren und Opfer zu identifizieren. Mit Unterstützung des FBI, des US-Justizministeriums und der polnischen Regierung wurde die angreifende Infrastruktur offline genommen. ### FrostArmada-Aktivität Die Angreifer zielten auf internetexponierte Router ab, hauptsächlich MikroTik und TP-Link, sowie auf einige Firewall-Produkte von Nethesis und ältere **Fortinet**-Modelle. Nach der Kompromittierung kommunizierten die Geräte mit der Infrastruktur der Angreifer und erhielten DNS-Konfigurationsänderungen, die den Datenverkehr zu bösartigen VPS-Knoten umleiteten. Die neuen DNS-Einstellungen wurden über das Dynamic Host Configuration Protocol (DHCP) automatisch an interne Geräte weitergeleitet. Wenn Clients Authentifizierungs-bezogene Domains abfragten, die vom Bedrohungsakteur anvisiert wurden, gab der DNS-Server die IP-Adresse des Angreifers anstelle der tatsächlichen zurück, wodurch die Opfer zu einem Adversary-in-the-Middle (AitM)-Proxy umgeleitet wurden. Das einzige sichtbare Anzeichen für den Betrug für das Opfer wäre eine Warnung vor einem ungültigen TLS-Zertifikat gewesen, die leicht hätte ignoriert werden können. Das Ignorieren der Warnung gab dem Bedrohungsakteur jedoch Zugriff auf die unverschlüsselte Internetkommunikation des Opfers. „Der Akteur betrieb im Wesentlichen einen Proxy-Dienst als AitM, zu dem der Endbenutzer über DNS geleitet wurde“, erklären die Forscher von Lumen's Black Lotus Labs. „Das einzige Anzeichen für diesen Angriff wäre ein Pop-up-Fenster mit der Warnung, dass die Verbindung zu einer nicht vertrauenswürdigen Quelle aufgrund der 'Break and Inspect'-Konfiguration besteht.“ „Wenn Warnungen vorhanden waren und ignoriert oder durchgeklickt wurden, leitete der Akteur Anfragen an die legitimen Dienste weiter, sammelte die Daten am Mittelpunkt und sammelte Daten, die mit dem Zielkonto verknüpft waren, indem er den gültigen OAuth-Token weitergab.“ In einigen Fällen fälschten die Hacker jedoch DNS-Antworten für bestimmte Domains, wodurch betroffene Endpunkte gezwungen wurden, sich mit der Angriffsinfrastruktur zu verbinden, so Microsoft in einem Bericht von heute. Lumen berichtet, dass FrostArmada in zwei verschiedenen Clustern operierte: einem namens 'Expansion team', das sich der Gerätekompromittierung und dem Botnet-Wachstum widmete, und dem zweiten, das die AiTM- und Anmeldedatenerfassungsoperationen durchführte.  Die Forscher berichten, dass die FrostArmada-Aktivität nach einem Bericht des **National Cyber Security Centre (NCSC)** im Vereinigten Königreich vom August 2025, der ein Forest Blizzard-Toolset beschrieb, das auf Microsoft-Kontoinformationen und -Tokens abzielte, stark zugenommen hat. Microsoft bestätigte, dass APT28 AitM-Angriffe gegen Domains durchgeführt hat, die mit dem **Microsoft 365**-Dienst verbunden sind, da auch Subdomains für Microsoft Outlook im Web ins Visier genommen wurden. Darüber hinaus beobachtete das Unternehmen diese Aktivität auf Servern von drei Regierungsorganisationen in Afrika, die nicht auf Microsoft-Infrastruktur gehostet wurden. Bei diesen Angriffen „interceptierte Forest Blizzard DNS-Anfragen und führte nachfolgende Erfassungen durch“. Black Lotus Labs beobachtete auch, dass der Bedrohungsakteur Entitäten mit On-Premise-E-Mail-Servern und „einer kleinen Anzahl von Regierungsorganisationen“ in Nordafrika, Mittelamerika und Südostasien ins Visier nahm. Die Forscher stellen fest, dass „es auch eine Verbindung zu einer nationalen Identitätsplattform in einem europäischen Land gab“. In einem Bericht von heute heißt es, dass die AitM-Aktivität sowohl Browser-Sitzungen als auch Desktop-Anwendungen beeinträchtigte und das DNS-Hijacking vermutlich opportunistisch erfolgte, um einen großen Pool potenzieller Ziele aufzubauen und dann die von Interesse zu filtern. Black Lotus Labs hat eine kleine Auswahl an [Indikatoren für Kompromittierung](https://github.com/blacklotuslabs/IOCs/blob/main/FrostArmada_IOCs.txt) für die während der FrostArmada-Kampagne verwendeten VPS-Server veröffentlicht: | IP-Adresse | Erst gesehen | Zuletzt gesehen | |-------------------|---------------|---------------| | 64.120.31[.]96 | 19. Mai 2025 | 31. März 2026| | 79.141.160[.]78 | 19. Juli 2025 | 31. März 2026| | 23.106.120[.]119 | 19. Juli 2025 | 31. März 2026| | 79.141.173[.]211 | 19. Juli 2025 | 31. März 2026| | 185.117.89[.]32 | 9. September 2025 | 9. September 2025 | | 185.237.166[.]55 | 30. Dezember 2025 | 30. Dezember 2025 | Die Forscher stellen fest, dass Verteidiger für Unternehmensgeräte (Laptops, Mobiltelefone), die über eine MDM-Lösung verwaltet werden, eine Zertifikatspinnung implementieren sollten, die einen Fehler generiert, wenn der Angreifer versucht, den Datenverkehr auf seiner VPS-Infrastruktur abzufangen und zu analysieren. Eine weitere Empfehlung ist die Minimierung der Angriffsfläche durch Patchen, Begrenzung der Exposition im öffentlichen Web und Entfernung aller End-of-Life-Geräte. Microsoft und das NCSC stellen außerdem eine Liste von IoCs und Schutzrichtlinien zur Verfügung, um Verteidiger bei der Identifizierung und Verhinderung von DNS-Hijacking-Angriffen zu unterstützen.