APT28 e la campagna FrostArmada: come il GRU russo ruba credenziali Microsoft senza installare malware
Il gruppo di spionaggio russo APT28, noto anche come Fancy Bear, Forest Blizzard e Storm-2754 e riconducibile all’85° Centro Principale dei Servizi Speciali (GTsSS), Unità militare 26165 del GRU, ha condotto una campagna di cyber-spionaggio su scala globale compromettendo migliaia di router domestici e per piccoli uffici. L’operazione, denominata FrostArmada dai ricercatori di Black Lotus Labs (Lumen Technologies), ha permesso di sottrarre in modo silenzioso credenziali di accesso e token OAuth di Microsoft 365, senza che le vittime ricevessero alcun segnale di allarme tradizionale.
La campagna è stata resa pubblica il 7 aprile 2026 contestualmente all’advisory del National Cyber Security Centre (NCSC) del Regno Unito, nell’ambito di un’operazione internazionale coordinata tra autorità di law enforcement e aziende private.
Il meccanismo: DNS hijacking senza malware
La campagna su larga scala è stata denominata FrostArmada da Black Lotus Labs, con Microsoft che la descrive come uno sforzo per sfruttare dispositivi SOHO vulnerabili allo scopo di dirottare il traffico DNS e abilitare la raccolta passiva di dati di rete.
Sin dal 2024 e fino al 2026, APT28 ha configurato Virtual Private Server (VPS) per operare come server DNS malevoli. Questi VPS ricevevano volumi elevati di richieste DNS originate da router precedentemente compromessi tramite vulnerabilità note. Le impostazioni DHCP/DNS dei dispositivi venivano sovrascritte in modo da includere indirizzi IP controllati dall’attaccante, propagando le nuove configurazioni ai dispositivi della rete interna.
Quando gli utenti richiedevano i domini target, il traffico veniva reindirizzato verso un nodo adversary-in-the-middle (AitM), dove le credenziali venivano raccolte ed esfiltrate. L’unico segnale visibile per l’utente finale sarebbe stato un avviso per certificato TLS non valido.
I target del gruppo APT28 e la portata dell’operazione FrostArmada
L’attività risulta iniziata in forma limitata già a partire da maggio 2025, con una fase di compromissione su larga scala avviata da agosto. Al picco, nel dicembre 2025, oltre 18.000 indirizzi IP unici provenienti da almeno 120 paesi comunicavano con l’infrastruttura di APT28. I target primari includevano agenzie governative, ministeri degli affari esteri, forze dell’ordine e provider email e cloud di terze parti distribuiti in Africa settentrionale, America centrale, Sud-Est asiatico ed Europa.
Microsoft ha rilevato oltre 200 organizzazioni e 5.000 dispositivi consumer impattati dall’infrastruttura DNS malevola di Forest Blizzard, precisando che la telemetria non ha indicato compromissioni di asset o servizi di proprietà Microsoft.
Le operazioni di DNS hijacking sono state valutate come opportunistiche: APT28 ha preso di mira un ampio bacino di vittime, filtrando progressivamente i risultati per individuare utenti di potenziale interesse sotto il profilo dell’intelligence.
La vulnerabilità sfruttata
Uno dei modelli router sfruttati da APT28 è il TP-Link WR841N, presumibilmente attraverso la CVE-2023-50224, una vulnerabilità che consente a un attaccante non autenticato di ottenere credenziali memorizzate tramite richieste HTTP GET appositamente predisposte. Una volta ottenute le credenziali del router, l’attore inviava una seconda richiesta HTTP GET per modificare le impostazioni DNS DHCP del dispositivo, impostando il server DNS primario su un indirizzo IP malevolo e mantenendo il server secondario originale come fallback.
L’operazione di smantellamento
L’FBI ha condotto un’operazione tecnica autorizzata dall’autorità giudiziaria per mettere in sicurezza i router compromessi, rimuovendo i resolver di APT28 tramite DNS reset e ripristinando la connessione a resolver legittimi forniti dagli ISP. I comandi inviati ai router hanno anche permesso all’FBI di raccogliere prove sull’attività del gruppo. Per garantire che l’operazione non alterasse le funzionalità ordinarie dei dispositivi né raccogliesse dati degli utenti, il governo ha condotto test estensivi su firmware e hardware dei router TP-Link interessati.
Il DoJ ha precisato che gli utenti possono rimuovere eventuali modifiche residue eseguendo un ripristino alle impostazioni di fabbrica.
Il contesto geopolitico
APT28 è lo stesso gruppo responsabile della violazione del Comitato Nazionale Democratico statunitense nel 2016. L’NCSC ha precedentemente attribuito ad APT28 gli attacchi informatici al Bundestag tedesco nel 2015, che hanno incluso furto di dati e la compromissione degli account email di parlamentari e del Vice Cancelliere, nonché il tentato attacco all’Organizzazione per la Proibizione delle Armi Chimiche (OPCW) nell’aprile 2018, finalizzato a ostacolare le analisi indipendenti sulle armi chimiche impiegate dal GRU nel Regno Unito.
Le implicazioni: perché questo attacco è diverso
La campagna FrostArmada introduce un cambio di paradigma importante nella threat intelligence: il compromesso avviene a livello di infrastruttura di rete, non di endpoint. Non esiste un payload da rilevare, nessun processo anomalo da monitorare, nessun comportamento sospetto sul dispositivo dell’utente finale. L’attacco è invisibile agli strumenti EDR tradizionali e ai controlli di sicurezza perimetrali che non analizzano il traffico DNS in uscita.
Microsoft ha osservato che APT28 potrebbe sfruttare la posizione AitM acquisita per obiettivi aggiuntivi, tra cui attacchi denial of service e il deployment di malware.
Raccomandazioni operative
L’advisory NCSC fornisce indicazioni concrete per ridurre la superficie di attacco, riprese anche da Bleeping Computer con dettagli sull’operazione tecnica di smantellamento:
Sostituire i router che non ricevono più aggiornamenti di sicurezza dal produttore; mantenere il firmware sempre aggiornato all’ultima versione disponibile; non esporre le interfacce di gestione dei router su Internet; abilitare l’autenticazione a più fattori (MFA) su tutti gli account potenzialmente esposti a credential theft; monitorare le impostazioni DNS dei dispositivi di rete per rilevare modifiche non autorizzate; formare gli utenti a non ignorare gli avvisi relativi a certificati TLS non validi.
Il caso FrostArmada è un promemoria significativo del fatto che la sicurezza informatica aziendale non può prescindere dalla protezione dell’infrastruttura di rete di base, compresi i dispositivi SOHO sempre più presenti negli ambienti di lavoro ibrido e negli uffici periferici.
