APT28 colpisce i router per dirottare il DNS e rubare credenziali

Apr 07, 2026 Redazione Attacchi, In evidenza, News, RSS 0

Secondo un’analisi pubblicata dal National Cyber Security Centre britannico e supportata da dati di Microsoft Threat Intelligence, il gruppo APT28 continua a compromettere router domestici e per piccoli uffici per manipolare il DNS e intercettare credenziali sensibili, utilizzando infrastrutture di rete apparentemente innocue come trampolino verso obiettivi più rilevanti. La campagna, attribuita al collettivo noto come Fancy Bear e legato all’intelligence militare russa GRU, ci ricorda come anche i dispositivi di rete periferici possano diventare elementi strategici per operazioni di cyber-spionaggio su larga scala.

Hijacking DNS sui router SOHO: il vettore invisibile

Il cuore dell’operazione consiste nello sfruttamento di vulnerabilità nei router small office e domestici, modificando i parametri DNS per reindirizzare il traffico verso infrastrutture controllate dagli attaccanti. La compromissione del router trasforma ogni dispositivo collegato in un potenziale bersaglio, ereditando automaticamente le configurazioni malevole, inclusi laptop, smartphone e sistemi aziendali remoti.

Quando le vittime cercano servizi diffusi come Outlook o altre piattaforme enterprise, vengono indirizzate verso pagine clone perfettamente credibili. L’inserimento delle credenziali su questi portali falsificati consente ad APT28 di raccogliere password legittime senza compromettere direttamente l’infrastruttura target, mantenendo l’operazione estremamente difficile da rilevare.

Router consumer come punto di ingresso verso ambienti enterprise

Le attività osservate indicano che gli attacchi non sono necessariamente mirati a singoli individui di alto valore, ma piuttosto opportunistici. Tuttavia, la compromissione di router posizionati “a monte” di organizzazioni rilevanti consente al gruppo di ottenere accesso indiretto a reti aziendali e dati sensibili, sfruttando connessioni fidate e traffico apparentemente legittimo.

Microsoft Threat Intelligence ha identificato oltre 200 organizzazioni e circa 5.000 dispositivi coinvolti nell’infrastruttura DNS malevola attribuita a Forest Blizzard, denominazione interna di APT28: evidentemente un’operazione distribuita su larga scala che utilizza l’ecosistema domestico come infrastruttura di raccolta credenziali, senza indicazioni di compromissione diretta dei servizi Microsoft.

Dispositivi coinvolti e persistenza della campagna

Tra i dispositivi citati compaiono diversi router TP-Link, mentre attività analoghe avevano già coinvolto apparati Cisco monitorati dal 2021. Un cluster separato ha interessato router MikroTik, molti dei quali localizzati in Ucraina. Il controllo di questi dispositivi può fornire intelligence operativa, inclusi pattern di traffico e accesso a sistemi con valore militare o strategico, ampliando l’impatto oltre il semplice credential harvesting.

La manipolazione DNS non è l’unico obiettivo. Secondo Microsoft, gli accessi ottenuti possono essere riutilizzati per ulteriori operazioni, inclusi attacchi DDoS o distribuzione di malware. La trasformazione dei router compromessi in nodi multiuso rende l’infrastruttura resiliente e riutilizzabile per campagne successive, aumentando la durata operativa dell’attacco.

Precedenti operazioni e malware Jaguar Tooth

Le campagne attuali si inseriscono in un pattern già osservato negli anni precedenti. In advisory pubblicate nel 2023, il NCSC (National Cyber Security Centre, l’agenzia governativa del Regno Unito responsabile della sicurezza informatica nazionale) aveva documentato attacchi simili contro router Cisco utilizzati per distribuire il malware Jaguar Tooth. Questo payload permetteva l’installazione di backdoor persistenti, facilitando compromissioni successive e accessi laterali, dimostrando l’evoluzione da semplice DNS hijacking a piattaforme di intrusione più sofisticate.

Condividi l'articolo