- Forest Blizzard (APT28) secuestra dispositivos SOHO para espionaje
- Los atacantes redirigen el tráfico DNS para permitir la vigilancia y los ataques AiTM
- La campaña impactó a más de 200 organizaciones en los sectores de gobierno, TI, telecomunicaciones y energía.
Los actores de amenazas patrocinados por el estado ruso están apuntando a dispositivos de pequeñas oficinas/oficinas domésticas (SOHO) mal protegidos y utilizándolos para pivotar en entornos empresariales y corporativos, afirman los expertos.
Un informe de Microsoft Threat Intelligence advierte sobre un ataque a gran escala dirigido a enrutadores TP-Link por parte de Forest Blizzard (también conocido como APT28).
Hasta ahora, más de 200 organizaciones y más de 5.000 dispositivos de consumo se han visto afectados por el ataque, dijo Microsoft, añadiendo que el grupo está interesado principalmente en el ciberespionaje y la recopilación de inteligencia.
El artículo continúa a continuación.
¿Qué pasó?
Aparentemente, la campaña comenzó en agosto de 2025 y, en lugar de apuntar directamente a las redes corporativas, Forest Blizzard se centró en dispositivos de borde como enrutadores domésticos, que a menudo carecen de controles y supervisión de seguridad sólidos en entornos empresariales.
Microsoft no dijo exactamente cómo los atacantes llegaron a estos puntos finales, pero sugirió que pueden tener contraseñas predeterminadas o fáciles de descifrar o vulnerabilidades conocidas pero sin parches que podrían explotarse fácilmente.
Una vez dentro, cambian las configuraciones del dispositivo para enrutar el tráfico del Sistema de nombres de dominio (DNS) a través de la infraestructura que controlan, los monitorean e incluso influyen en cómo los dispositivos afectados resuelven los nombres de dominio.
Al operar en este nivel ascendente, APT28 obtuvo una amplia visibilidad de la actividad de la red tanto en entornos de consumo como empresariales. Esto no sólo les permite llevar a cabo vigilancia pasiva a escala, sino que también prepara el terreno para ataques posteriores más específicos contra empresas de alto valor.
DNS funciona como la libreta de direcciones de Internet. Entonces, en lugar de enviar solicitudes a servidores DNS legítimos, los dispositivos comprometidos en realidad son redirigidos a servidores controlados por los atacantes. En casos más específicos, los actores de amenazas manipularán las respuestas de DNS para redirigir a las víctimas a versiones falsas de servicios legítimos, lo que resulta en lo que se conoce como un ataque de adversario en el medio (AitM).
Esto, a su vez, permite a los operadores de APT28 interceptar datos mientras viajan entre los usuarios y los servicios reales.
Si la víctima ignora las advertencias del navegador sobre credenciales de seguridad no válidas (lo cual, a decir verdad, hacemos a menudo), los atacantes pueden capturar información confidencial, incluidas las credenciales de inicio de sesión y el correo electrónico.
¿A quién se dirige?
La campaña afecta a una amplia gama de sectores, destacó Microsoft, incluidas agencias gubernamentales, tecnología de la información, telecomunicaciones y energía. Si bien miles de dispositivos domésticos y de pequeñas oficinas se vieron comprometidos, Forest Blizzard parece utilizar selectivamente los ataques de seguimiento más intrusivos, centrándose en objetivos de alto valor.
Utilizan ataques AitM para interceptar correos electrónicos y datos en la nube, pero la gran cantidad de dispositivos comprometidos les da mucho margen de maniobra para futuras campañas potencialmente a gran escala.
“Si bien el número de organizaciones específicamente objetivo de TLS AiTM es sólo un subconjunto de redes de dispositivos SOHO vulnerables, Microsoft Threat Intelligence evalúa que el acceso generalizado de un actor de amenazas podría permitir ataques AiTM a gran escala, que podrían incluir la interceptación activa del tráfico”, advirtió Microsoft.
“Apuntar a dispositivos SOHO no es una táctica, táctica o método (TTP) nuevo para los actores de inteligencia militar rusos, pero esta es la primera vez que BonBlizzard explota los dispositivos Microsoft Edge utilizando el secuestro de DNS a escala para admitir AiTM a través de conexiones TLS”.
Para protegerse contra el secuestro de DNS, Microsoft recomienda que las organizaciones implementen servidores DNS confiables, bloqueen dominios maliciosos, mantengan registros de DNS y eviten los dispositivos SOHO en las redes corporativas.
Para AiTM y el robo de credenciales, recomiendan centralizar la gestión de identidades, habilitar el inicio de sesión único, implementar autenticación multifactor (MFA) y claves de acceso, implementar políticas de acceso condicional y monitorear los inicios de sesión riesgosos con evaluaciones de acceso continuas. Las organizaciones deben registrar la actividad de identidad, proteger cuentas privilegiadas con MFA resistente al phishing y seguir las mejores prácticas de respuesta a incidentes de Microsoft para recuperarse de un compromiso de identidad sistémico. También se recomienda la protección de red a través de Microsoft Defender para puntos finales para bloquear sitios maliciosos.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
