Una operación internacional de autoridades policiales en asociación con empresas privadas ha desarticulado FrostArmada, una campaña de **APT28** que secuestraba tráfico local de routers **MikroTik** y **TP-Link** para robar credenciales de cuentas de Microsoft. El grupo de amenazas ruso APT28, también conocido como Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 y Sednit, ha sido vinculado a la unidad militar 26165 del Directorio Principal de Inteligencia del Estado Mayor General de Rusia (GRU), el 85º Centro Principal de Servicio Especial (GTsSS). En los ataques de FrostArmada, los hackers comprometieron principalmente routers de pequeñas oficinas/oficinas en casa (SOHO) y alteraron la configuración del sistema de nombres de dominio (DNS) para que apuntara a servidores privados virtuales (VPS) bajo su control, que actuaban como resolvedores DNS. Esto permitió a APT28 interceptar el tráfico de autenticación a dominios objetivo y robar inicios de sesión y tokens OAuth de Microsoft. En su punto álgido en diciembre de 2025, FrostArmada infectó 18.000 dispositivos en 120 países, atacando principalmente a agencias gubernamentales, fuerzas del orden, proveedores de TI y de hosting, y organizaciones que operan sus propios servidores. **Microsoft**, cuyos servicios fueron el objetivo de esta campaña, colaboró con **Black Lotus Labs (BLL)**, la división de investigación y operaciones de amenazas de Lumen, para mapear la actividad maliciosa e identificar a las víctimas. Con el apoyo del FBI, el Departamento de Justicia de EE. UU. y el gobierno polaco, la infraestructura infractora ha sido desconectada. ### Actividad de FrostArmada Los atacantes se dirigieron a routers expuestos a Internet, principalmente MikroTik y TP-Link, así como a algunos productos de firewall de Nethesis y modelos **Fortinet** más antiguos. Una vez comprometidos, los dispositivos se comunicaban con la infraestructura de los atacantes y recibían cambios en la configuración DNS que redirigían el tráfico a nodos VPS maliciosos. La nueva configuración DNS se enviaba automáticamente a los dispositivos internos a través del Protocolo de Configuración Dinámica de Host (DHCP). Cuando los clientes consultaban dominios relacionados con la autenticación que el actor de amenazas tenía como objetivo, el servidor DNS devolvía la IP del atacante en lugar de la real, redirigiendo a las víctimas a un proxy de adversario en el medio (AitM). La única señal visible de fraude para la víctima habría sido una advertencia de certificado TLS no válido, que podría haberse desestimado fácilmente. Sin embargo, ignorar la alerta daba al actor de amenazas acceso a la comunicación no cifrada de Internet de la víctima. “El actor esencialmente ejecutó un servicio de proxy como el AitM al que el usuario final era dirigido a través de DNS”, explican los investigadores de Black Lotus Labs de Lumen. “La única señal de este ataque sería una ventana emergente de advertencia sobre la conexión a una fuente no confiable debido a la configuración de 'inspección y análisis'”. “Si las advertencias estaban presentes y se ignoraban o se hacía clic en ellas, el actor reenviaba las solicitudes a los servicios legítimos, recopilando los datos en el punto intermedio y obteniendo datos asociados con la cuenta objetivo al pasar el token OAuth válido”. En algunos casos, sin embargo, los hackers falsificaron respuestas DNS para ciertos dominios, obligando así a los puntos finales afectados a conectarse a las infraestructuras de ataque, dice Microsoft en un informe hoy. Lumen informa que FrostArmada operó en dos clústeres distintos, uno llamado 'Expansion team' dedicado a la compromiso de dispositivos y al crecimiento de la botnet, y el segundo manejando las operaciones de AiTM y recopilación de credenciales.  Los investigadores informan que la actividad de FrostArmada aumentó drásticamente tras un informe de agosto de 2025 del **National Cyber Security Centre (NCSC)** del Reino Unido que describía un conjunto de herramientas de Forest Blizzard que apuntaba a credenciales y tokens de cuentas de Microsoft. Microsoft confirmó que APT28 llevó a cabo ataques AitM contra dominios asociados con el servicio **Microsoft 365**, ya que también se habían dirigido a subdominios de Microsoft Outlook en la web. Además, la compañía observó esta actividad en servidores pertenecientes a tres organizaciones gubernamentales en África que no estaban alojadas en infraestructura de Microsoft. En esos ataques, "Forest Blizzard interceptó las solicitudes DNS y realizó la recopilación posterior". Black Lotus Labs también observó que el actor de amenazas se dirigía a entidades con servidores de correo electrónico locales y "un pequeño número de organizaciones gubernamentales" en el norte de África, América Central y el Sudeste Asiático. Los investigadores señalan que "también hubo una conexión con una plataforma de identidad nacional en un país europeo". En un informe hoy, la agencia del Reino Unido dice que la actividad AitM afectó tanto a las sesiones del navegador como a las aplicaciones de escritorio, y se cree que el secuestro de DNS fue de naturaleza oportunista para construir un gran grupo de posibles objetivos y luego filtrar los de interés. Black Lotus Labs ha publicado un pequeño conjunto de [indicadores de compromiso](https://github.com/blacklotuslabs/IOCs/blob/main/FrostArmada_IOCs.txt) para los servidores VPS utilizados durante la campaña FrostArmada: | Dirección IP | Visto por primera vez | Visto por última vez | |---------------|-----------------------|---------------------| | 64.120.31[.]96 | 19 de mayo de 2025 | 31 de marzo de 2026 | | 79.141.160[.]78 | 19 de julio de 2025 | 31 de marzo de 2026 | | 23.106.120[.]119 | 19 de julio de 2025 | 31 de marzo de 2026 | | 79.141.173[.]211 | 19 de julio de 2025 | 31 de marzo de 2026 | | 185.117.89[.]32 | 9 de septiembre de 2025 | 9 de septiembre de 2025 | | 185.237.166[.]55 | 30 de diciembre de 2025 | 30 de diciembre de 2025 | Los investigadores señalan que los defensores deben implementar el anclaje de certificados para dispositivos corporativos (portátiles, teléfonos móviles) controlados a través de una solución MDM, lo que generaría un error cuando el atacante intente interceptar y analizar el tráfico en su infraestructura VPS. Otra recomendación es minimizar la superficie de ataque mediante parches, limitar la exposición en la web pública y eliminar todo el equipo al final de su vida útil. Microsoft y el NCSC también proporcionan una lista de IoCs y orientación de protección para ayudar a los defensores a identificar y prevenir ataques de secuestro de DNS.