El FBI anunció recientemente que, gracias a una operación internacional coordinada, se ha desmantelado la infraestructura maliciosa denominada 'FrostArmada', operada por el grupo de hackers ruso APT28 (también conocido como Fancy Bear). El grupo utilizaba routers domésticos y de pequeñas oficinas (SOHO) para interceptar el tráfico de inicio de sesión de los usuarios y así robar credenciales de cuentas de Microsoft 365 y tokens OAuth.
La operación fue ejecutada conjuntamente por el FBI, el Departamento de Justicia de EE. UU. y el gobierno de Polonia, contando además con el apoyo técnico de Microsoft y de Black Lotus Labs (BLL), una división de la empresa Lumen. Las investigaciones revelaron que el grupo atacaba principalmente routers de marcas como MikroTik y TP-Link, además de afectar a ciertos dispositivos Nethesis y modelos antiguos de firewalls Fortinet.
El mecanismo de secuestro de DNS en routers
El modus operandi de APT28 consistía en manipular la configuración del Sistema de Nombres de Dominio (DNS) de los routers infectados para redirigirlos hacia servidores privados virtuales (VPS) controlados por los atacantes. Cuando un dispositivo conectado al router intentaba acceder a un sitio legítimo, la resolución DNS se desviaba hacia el servidor proxy de los hackers, permitiendo así un ataque de 'hombre en el medio' (AitM).
Los investigadores de Black Lotus Labs señalaron que el proceso es extremadamente sigiloso para el usuario promedio. El único indicio que podría alertar a la víctima es una advertencia del navegador sobre la inseguridad de un certificado TLS. Si el usuario ignora estas alertas y continúa con la navegación, los atacantes pueden interceptar fácilmente sus comunicaciones no cifradas.
Durante su pico de actividad en diciembre de 2025, FrostArmada infectó cerca de 18,000 dispositivos en 120 países. Entre las víctimas se encuentran organismos gubernamentales, fuerzas de seguridad, proveedores de servicios de TI y empresas que operan sus propios servidores. Según los informes, el grupo operaba con una clara división de tareas: un equipo se encargaba de comprometer dispositivos para expandir la botnet, mientras que otro se especializaba en los ataques de interceptación y la recolección de credenciales.
Para neutralizar esta amenaza, el FBI llevó a cabo una operación técnica autorizada judicialmente. Al enviar instrucciones de restablecimiento a los routers comprometidos, las autoridades obligaron a los dispositivos a volver a utilizar los resolutores DNS legítimos de sus proveedores de servicios de Internet, cortando así el enlace de comunicación de los hackers. El Departamento de Justicia afirmó que esta acción no solo reparó los equipos afectados, sino que también permitió recopilar pruebas fundamentales para las investigaciones en curso.
