Hackers ligados às unidades de inteligência militar da Rússia estão explorando falhas conhecidas em roteadores de internet mais antigos para coletar em massa tokens de autenticação de usuários do **Microsoft Office**, alertaram especialistas em segurança. A campanha de espionagem permitiu que hackers russos apoiados pelo estado siphonassem silenciosamente tokens de autenticação de usuários em mais de 18.000 redes, sem implantar qualquer software ou código malicioso. **Microsoft** afirmou que identificou mais de 200 organizações e 5.000 dispositivos de consumo envolvidos em uma rede de espionagem furtiva construída pelo **Forest Blizzard** em uma postagem recente em seu blog.  Também conhecido como APT28 e Fancy Bear, o Forest Blizzard é atribuído às unidades de inteligência militar dentro da Diretoria Principal de Inteligência do Estado-Maior Geral (GRU) da Rússia. O APT 28 comprometeu famosamente a campanha de Hillary Clinton, o Comitê Nacional Democrata e o Comitê de Campanha Democrata do Congresso em 2016. Pesquisadores da **Black Lotus Labs**, uma divisão de segurança da provedora de backbone de internet **Lumen**, descobriram que, em seu pico em dezembro de 2025, a vigilância do Forest Blizzard impactou mais de 18.000 roteadores de internet, principalmente roteadores não suportados, de fim de vida útil, ou dispositivos sem atualizações de segurança recentes. Os hackers visaram principalmente agências governamentais, incluindo ministérios de relações exteriores, forças de segurança e provedores de e-mail de terceiros. O Engenheiro de Segurança da Black Lotus, **Ryan English**, explicou que os hackers da GRU não precisaram instalar malware nos roteadores visados, que eram principalmente dispositivos antigos da **Mikrotik** e **TP-Link** comercializados para o mercado de Pequenos Escritórios/Grandes Escritórios (SOHO). Em vez disso, eles exploraram vulnerabilidades conhecidas para modificar as configurações do Sistema de Nomes de Domínio (DNS) dos roteadores para incluir servidores DNS controlados pelos hackers. O **National Cyber Security Centre** (NCSC) do Reino Unido detalhou em um novo aviso como atores cibernéticos russos têm comprometido roteadores. O DNS é o que permite que os indivíduos acessem sites digitando endereços familiares, em vez de endereços IP associados. Em um ataque de sequestro de DNS, atores maliciosos interferem nesse processo para enviar usuários secretamente para sites maliciosos projetados para roubar detalhes de login ou outras informações confidenciais. English afirmou que os roteadores atacados pelo Forest Blizzard foram reconfigurados para usar servidores DNS que apontavam para servidores privados virtuais controlados pelos atacantes. Os atacantes podiam então propagar suas configurações de DNS maliciosas para todos os usuários na rede local e, a partir daí, interceptar quaisquer tokens de autenticação OAuth transmitidos por esses usuários.  Como esses tokens são tipicamente transmitidos apenas *após* o usuário ter feito login com sucesso e passado pela autenticação multifator, os atacantes poderiam obter acesso direto às contas das vítimas sem nunca ter que fazer phishing das credenciais e/ou códigos de uso único de cada usuário. "Todo mundo está procurando por algum malware sofisticado para instalar algo em seus dispositivos móveis ou algo assim", disse English. "Esses caras não usaram malware. Eles fizeram isso de uma maneira antiga, 'greybeard', que não é realmente sexy, mas cumpre o objetivo." A Microsoft se refere à atividade do Forest Blizzard como o uso de sequestro de DNS "para suportar ataques de adversário no meio (AiTM) pós-comprometimento em conexões de Transport Layer Security (TLS) contra domínios do Microsoft Outlook na web". A gigante do software disse que, embora o direcionamento de dispositivos SOHO não seja uma tática nova, esta é a primeira vez que a Microsoft vê o Forest Blizzard usando "sequestro de DNS em escala para suportar AiTM de conexões TLS após explorar dispositivos de borda". O engenheiro da Black Lotus Labs, **Danny Adamitis**, disse que será interessante ver como o Forest Blizzard reagirá ao frenesi de atenção de hoje em sua operação de espionagem, observando que o grupo mudou imediatamente suas táticas em resposta a um relatório semelhante do **NCSC** em agosto de 2025. Na época, o Forest Blizzard estava usando malware para controlar um grupo muito mais direcionado e menor de roteadores comprometidos. Mas Adamitis disse que no dia seguinte ao relatório do NCSC, o grupo rapidamente abandonou a abordagem de malware em favor da alteração em massa das configurações de DNS em milhares de roteadores vulneráveis. "Antes do último relatório do NCSC sair, eles usaram essa capacidade em instâncias muito limitadas", disse Adamitis ao KrebsOnSecurity. "Após o relatório ser divulgado, eles implementaram a capacidade de forma mais sistêmica e a usaram para atingir tudo o que era vulnerável." A TP-Link estava entre os fabricantes de roteadores que enfrentavam uma potencial proibição nos Estados Unidos. Mas em 23 de março, a **U.S. Federal Communications Commission** (FCC) adotou uma abordagem muito mais ampla, anunciando que não certificaria mais roteadores de internet de grau de consumidor que são produzidos fora dos Estados Unidos. A FCC alertou que roteadores fabricados no exterior se tornaram uma ameaça insustentável à segurança nacional, e que roteadores mal protegidos apresentam "um risco severo de cibersegurança que poderia ser explorado para interromper imediata e severamente a infraestrutura crítica dos EUA e prejudicar diretamente pessoas nos EUA". Especialistas contrapuseram que poucos roteadores de grau de consumidor novos estariam disponíveis para compra sob esta nova política da FCC (além talvez dos roteadores de internet via satélite Starlink de Musk, que são produzidos no Texas). A FCC diz que os fabricantes de roteadores podem solicitar uma "aprovação condicional" especial do Departamento de Guerra ou do Departamento de Segurança Interna, e que a nova política não afeta quaisquer roteadores de grau de consumidor previamente comprados.