Uma operação internacional de autoridades de segurança em parceria com empresas privadas desmantelou a FrostArmada, uma campanha da **APT28** que sequestrava tráfego local de roteadores **MikroTik** e **TP-Link** para roubar credenciais de contas Microsoft. O grupo de ameaças russo APT28, também rastreado como Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 e Sednit, foi associado à unidade militar 26165 do 85º Centro Principal de Serviço Especial (GTsSS) da Diretoria Principal de Inteligência do Estado-Maior Russo (GRU). Nos ataques da FrostArmada, os hackers comprometeram principalmente roteadores de pequenos escritórios/escritórios domésticos (SOHO) e alteraram as configurações do sistema de nomes de domínio (DNS) para apontar para servidores virtuais privados (VPS) sob seu controle, que atuavam como resolvedores de DNS. Isso permitiu que a APT28 interceptasse o tráfego de autenticação para domínios visados e roubasse logins e tokens OAuth da Microsoft. Atingindo o pico em dezembro de 2025, a FrostArmada infectou 18.000 dispositivos em 120 países, visando principalmente agências governamentais, forças de segurança, provedores de TI e de hospedagem, e organizações que operam seus próprios servidores. A **Microsoft**, cujos serviços foram visados por esta campanha, trabalhou em conjunto com a **Black Lotus Labs (BLL)**, divisão de pesquisa e operações de ameaças da Lumen, para mapear a atividade maliciosa e identificar vítimas. Com o apoio do FBI, do Departamento de Justiça dos EUA e do governo polonês, a infraestrutura ofensiva foi desativada. ### Atividade da FrostArmada Os atacantes visaram roteadores expostos à internet, principalmente MikroTik e TP-Link, bem como alguns produtos de firewall da Nethesis e modelos mais antigos da **Fortinet**. Uma vez comprometidos, os dispositivos se comunicavam com a infraestrutura dos atacantes e recebiam alterações na configuração de DNS que redirecionavam o tráfego para nós VPS maliciosos. As novas configurações de DNS eram automaticamente enviadas para dispositivos internos via Protocolo de Configuração Dinâmica de Host (DHCP). Quando os clientes consultavam domínios relacionados à autenticação visados pelo ator de ameaça, o servidor DNS retornava o IP do atacante em vez do real, redirecionando as vítimas para um proxy adversário-no-meio (AitM). O único sinal visível de fraude para a vítima seria um aviso de certificado TLS inválido, que poderia ter sido facilmente descartado. No entanto, ignorar o alerta deu ao ator de ameaça acesso à comunicação de internet não criptografada da vítima. “O ator essencialmente executou um serviço de proxy como o AitM para o qual o usuário final era direcionado via DNS”, explicam os pesquisadores da Black Lotus Labs da Lumen. “O único sinal deste ataque seria um pop-up de aviso sobre a conexão a uma fonte não confiável devido à configuração de 'quebrar e inspecionar'. “Se os avisos estivessem presentes e fossem ignorados ou clicados, o ator encaminhava as solicitações para os serviços legítimos, coletando os dados no ponto intermediário e coletando dados associados à conta visada, passando o token OAuth válido." Em alguns casos, no entanto, os hackers falsificaram respostas de DNS para certos domínios, forçando assim os endpoints afetados a se conectarem às infraestruturas de ataque, diz a Microsoft em um relatório hoje. A Lumen relata que a FrostArmada operou em dois clusters distintos, um chamado 'Expansion team' dedicado à compromisso de dispositivos e crescimento da botnet, e o segundo lidando com as operações de coleta de credenciais e AiTM.  Os pesquisadores relatam que a atividade da FrostArmada aumentou acentuadamente após um relatório de agosto de 2025 do **National Cyber Security Centre (NCSC)** do Reino Unido descrevendo um conjunto de ferramentas Forest Blizzard que visava credenciais e tokens de contas Microsoft. A Microsoft confirmou que a APT28 realizou ataques AitM contra domínios associados ao serviço **Microsoft 365**, pois subdomínios para o Microsoft Outlook na web também foram visados. Além disso, a empresa observou essa atividade em servidores pertencentes a três organizações governamentais na África que não estavam hospedados na infraestrutura da Microsoft. Nesses ataques, "Forest Blizzard interceptou solicitações de DNS e realizou coleta subsequente". A Black Lotus Labs também observou o ator de ameaça visando entidades com servidores de e-mail on-premise e "um pequeno número de organizações governamentais" no Norte da África, América Central e Sudeste Asiático. Os pesquisadores observam que "também houve uma conexão com uma plataforma de identidade nacional em um país europeu". Em um relatório hoje, a agência do Reino Unido afirma que a atividade AitM impactou tanto sessões de navegador quanto aplicativos desktop, e o sequestro de DNS acredita-se ter sido de natureza oportunista para construir um grande pool de alvos potenciais e, em seguida, filtrar aqueles de interesse. A Black Lotus Labs publicou um pequeno conjunto de [indicadores de comprometimento](https://github.com/blacklotuslabs/IOCs/blob/main/FrostArmada_IOCs.txt) para os servidores VPS usados durante a campanha FrostArmada: | Endereço IP | Visto pela Primeira Vez | Visto pela Última Vez | |-------------------|-------------------------|-----------------------| | 64.120.31[.]96 | 19 de maio de 2025 | 31 de março de 2026 | | 79.141.160[.]78 | 19 de julho de 2025 | 31 de março de 2026 | | 23.106.120[.]119 | 19 de julho de 2025 | 31 de março de 2026 | | 79.141.173[.]211 | 19 de julho de 2025 | 31 de março de 2026 | | 185.117.89[.]32 | 9 de setembro de 2025 | 9 de setembro de 2025 | | 185.237.166[.]55 | 30 de dezembro de 2025 | 30 de dezembro de 2025 | Os pesquisadores observam que os defensores devem implementar o "certificate pinning" para dispositivos corporativos (laptops, telefones celulares) controlados via uma solução MDM, o que geraria um erro quando o atacante tentasse interceptar e analisar o tráfego em sua infraestrutura VPS. Outra recomendação é minimizar a superfície de ataque por meio de patching, limitando a exposição na web pública e removendo todos os equipamentos de fim de vida. A Microsoft e o NCSC também fornecem uma lista de IoCs e orientações de proteção para ajudar os defensores a identificar e prevenir ataques de sequestro de DNS.