俄罗斯国家关联的APT28(又称Forest Blizzard)组织针对不安全SOHO路由器发起大规模攻击。Lumen的Black Lotus Labs将此行动命名为FrostArmada。黑客修改路由器DNS设置,将本地流量重定向到其控制的中介服务器。用户访问目标域名时,流量被劫持,凭证在无感知中被捕获并外泄。根据Black Lotus Labs报告,这种攻击链从2025年5月小规模启动,到8月初转为广泛路由器利用和DNS重定向。
Microsoft Threat Intelligence团队确认APT28及其子集团Storm-2754主导此役。该团队在2025年12月峰值期监测到超过18,000个独特IP地址来自至少120个国家。这些IP与APT28基础设施通信,主要瞄准北非、中美洲、东南亚和欧洲的外交部、执法机构,以及第三方邮件和云服务提供商。Microsoft数据显示,此前已识别200多个组织和5000台消费者设备受其恶意DNS影响。黑客优先入侵边缘设备,这些设备监控松散,便于渗透企业网络。首次观察到APT28大规模DNS劫持支持AiTM攻击,针对TLS连接窃取密码、OAuth令牌等。部分域名关联Microsoft Outlook网页版,还有非洲三家政府机构的非微软服务器遭袭。
攻击流程清晰。APT28获取SOHO设备远程管理员权限,替换默认DNS解析器为自家服务器。用户DNS查询指向邮件或登录页时,黑客伪造响应,诱导连接恶意基础设施,实现中间人窃取。英国国家网络安全中心(NCSC)评估此为机会主义操作,黑客先广撒网,再筛选高价值情报目标。针对TP-Link WR841N路由器,黑客利用CVE-2023-50224漏洞(CVSS 6.5),绕过认证提取存储凭证。另一服务器集群处理乌克兰MikroTik路由器DNS请求,转发至远程服务器。联合行动已中断相关基础设施,美国司法部、FBI及国际伙伴参与。Microsoft指出,此举虽聚焦情报收集,但AiTM位置可扩展至投放恶意软件或拒绝服务。路由器厂商需紧急修补,企业应检查DNS配置,优先政府和关键服务用户。
基础设施下线后,APT28转向新目标。路由器成间谍工具的案例频现,提醒用户默认密码和固件更新不可忽视。全球网络安全形势紧迫,边缘设备防护成新战场。