Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Campaña de ataque de APT28 FrostArmada

Campaña de ataque de APT28 FrostArmada

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso, Suplantación de identidad (phishing)
Traducir a:

Una sofisticada operación de ciberespionaje, atribuida al grupo de amenazas APT28, vinculado a Rusia y también conocido como Forest Blizzard, ha aprovechado la vulnerabilidad de la infraestructura de red para llevar a cabo una vigilancia a gran escala. Activa desde al menos mayo de 2025, la campaña, denominada FrostArmada, se centró en comprometer routers MikroTik y TP-Link inseguros, transformándolos en activos maliciosos bajo el control de los atacantes.

Esta operación se centró principalmente en dispositivos domésticos y de pequeñas oficinas (SOHO), aprovechando configuraciones vulnerables para manipular la configuración DNS. De esta forma, los atacantes pudieron interceptar y redirigir el tráfico de red, lo que permitió la recopilación de datos de forma pasiva y prácticamente indetectable.

Secuestro de DNS: Convirtiendo los routers en herramientas de vigilancia silenciosa

La base de la campaña reside en el secuestro de DNS, una técnica que permitía a los atacantes redirigir el tráfico legítimo a través de infraestructura maliciosa. Una vez comprometido un enrutador, se modificaban sus ajustes de DNS para que apuntaran a servidores controlados por el atacante. Esta manipulación permitía la interceptación de datos confidenciales sin necesidad de interacción por parte del usuario.

Cuando los usuarios intentaban acceder a los dominios objetivo, sus solicitudes se redirigían silenciosamente a nodos de atacante intermediario (AitM). Estos nodos capturaban los datos de autenticación, incluidas las credenciales de inicio de sesión, y los transmitían a los atacantes. El proceso era altamente encubierto, lo que dificultaba enormemente su detección.

Desglose de la cadena de ataque: desde la explotación hasta el robo de credenciales.

El ciclo de vida del ataque siguió una secuencia estructurada diseñada para maximizar la recopilación de datos y minimizar la detección:

  • Compromiso inicial de los routers SOHO a través de vulnerabilidades o configuraciones débiles.
  • Acceso administrativo no autorizado y modificación de la configuración DNS.
  • Redirección de consultas DNS a resolvedores maliciosos controlados por actores externos.
  • Intercepción del tráfico de usuarios a través de la infraestructura de AitM
  • Recopilación y extracción de credenciales, incluidas contraseñas y tokens OAuth.

Este método permitió a los atacantes monitorizar los intentos de inicio de sesión en plataformas de correo electrónico y servicios web, incluyendo casos relacionados con Microsoft Outlook en la web y otros sistemas no alojados por Microsoft.

Alcance global y segmentación estratégica

La campaña se expandió significativamente con el tiempo. Si bien comenzó de forma limitada en mayo de 2025, los esfuerzos de explotación a gran escala se intensificaron a principios de agosto. En su punto álgido, en diciembre de 2025, se observaron más de 18 000 direcciones IP únicas en al menos 120 países comunicándose con la infraestructura controlada por los atacantes.

Los objetivos principales incluían:

  • Instituciones gubernamentales como los ministerios de asuntos exteriores y los organismos encargados de hacer cumplir la ley.
  • Proveedores de servicios de correo electrónico y en la nube de terceros
  • Organizaciones de todo el norte de África, América Central, el sudeste asiático y Europa.

Más de 200 organizaciones y aproximadamente 5.000 dispositivos de consumo se vieron afectados, lo que demuestra la magnitud y el alcance de la operación.

Vulnerabilidades explotadas y tácticas de infraestructura

Los atacantes aprovecharon vulnerabilidades conocidas para acceder a los dispositivos de red. En particular, los routers TP-Link WR841N fueron vulnerados mediante la vulnerabilidad CVE-2023-50224, un fallo de omisión de autenticación que permitía la extracción de credenciales a través de solicitudes HTTP GET especialmente diseñadas.

Además, se identificó un clúster de infraestructura secundaria, responsable de reenviar el tráfico DNS desde los enrutadores comprometidos a servidores remotos controlados por el atacante. Este clúster también llevó a cabo operaciones interactivas dirigidas contra determinados enrutadores MikroTik, especialmente en Ucrania.

Espionaje avanzado mediante la vulneración de dispositivos periféricos

Esta campaña marca una evolución significativa en las tácticas operativas de APT28. Por primera vez, el grupo ha demostrado su capacidad para realizar secuestros de DNS a gran escala para facilitar ataques AitM contra conexiones Transport Layer Security (TLS).

Al comprometer los dispositivos periféricos, que suelen estar menos supervisados que los sistemas empresariales, los atacantes obtuvieron visibilidad del tráfico de red. Este posicionamiento estratégico les permitió identificar objetivos de alto valor y centrarse selectivamente en personas u organizaciones de interés para los servicios de inteligencia.

Se considera que la operación es de carácter oportunista, abarcando inicialmente un amplio espectro de objetivos y reduciendo progresivamente los existentes en función del valor de los datos interceptados.

Interrupción operativa y riesgos continuos

La infraestructura maliciosa que sustentaba FrostArmada ha sido desmantelada gracias a un esfuerzo coordinado en el que participaron el Departamento de Justicia de Estados Unidos, el FBI y socios internacionales. A pesar de esta desarticulación, las técnicas empleadas ponen de manifiesto los riesgos persistentes asociados a los dispositivos de red no seguros.

Si bien la campaña se ha centrado principalmente en la recopilación de inteligencia, el uso del posicionamiento AitM plantea amenazas más amplias. Dicho acceso podría facilitar actividades maliciosas adicionales, como la distribución de malware o ataques de denegación de servicio, lo que aumentaría significativamente el impacto potencial en las organizaciones objetivo.

Conclusión: Una llamada de atención para la seguridad de la red.

La campaña FrostArmada subraya la importancia crucial de proteger los dispositivos periféricos en los entornos de red. La explotación de enrutadores e infraestructura DNS proporciona a los atacantes un medio de vigilancia potente y sigiloso, que a menudo elude los controles de seguridad tradicionales.

Tanto las organizaciones como los particulares deben priorizar la configuración adecuada, la aplicación oportuna de parches y la monitorización continua de los dispositivos de red para mitigar los riesgos que plantean estos actores de amenazas avanzadas.

Tendencias

Mas Visto

Cargando...