✨︎ Resumen (TL;DR):
- El FBI ejecutó la “Operación Masquerade” para neutralizar una red de ciberespionaje operada por la inteligencia militar rusa.
- Los atacantes comprometieron más de 18,000 routers en 120 países para robar contraseñas e interceptar datos no encriptados.
- Hackers del grupo APT28 explotaron vulnerabilidades en dispositivos TP-Link y MikroTik para vulnerar infraestructura gubernamental.
El Departamento de Justicia de Estados Unidos (DOJ) anunció una operación judicial para desmantelar una red de secuestro de DNS controlada por la agencia de inteligencia militar rusa. Esta campaña comprometió más de 18,000 routers de hogares y pequeñas oficinas en 120 países para robar contraseñas, tokens de autenticación y datos gubernamentales confidenciales.
La iniciativa, denominada “Operación Masquerade”, fue dirigida por el FBI de Boston. El blanco principal fue la infraestructura operada por la Unidad Militar 26165 del GRU, un grupo de hackers conocido mundialmente como APT28, Fancy Bear o Forest Blizzard.
Mediante una orden judicial en Pensilvania, el FBI envió comandos remotos a los equipos afectados dentro del territorio estadounidense. Esta acción permitió recolectar evidencia, restablecer las configuraciones secuestradas y cortar de raíz el acceso del GRU.
El secuestro de DNS es un ciberataque que redirige el tráfico web legítimo del usuario hacia servidores maliciosos controlados por un tercero para interceptar datos sensibles y credenciales.
Desde al menos 2024, los hackers rusos explotaron vulnerabilidades conocidas en routers TP-Link para ejecutar ataques de adversario en el medio (adversary-in-the-middle). Así lograron robar tokens OAuth y credenciales de Microsoft Office 365.
Una amenaza global sobre hardware doméstico
Un informe de Microsoft Threat Intelligence detalló la magnitud de la brecha. Los investigadores identificaron más de 200 organizaciones y 5,000 dispositivos de consumo afectados. La campaña vulneró a tres dependencias gubernamentales en África y tocó sectores de telecomunicaciones, energía e infraestructura crítica.
“Los actores del GRU comprometieron routers en Estados Unidos y en todo el mundo, secuestrándolos para llevar a cabo espionaje”, declaró el Departamento de Justicia.
Ted E. Docks, agente especial a cargo del FBI, explicó que la operación neutralizó dispositivos “propiedad de estadounidenses desprevenidos en más de 23 estados”, los cuales eran explotados “para robar información confidencial del gobierno, el ejército y la infraestructura crítica”.
- El operativo de desmantelamiento requirió la cooperación de 15 países.
- Empresas privadas como Black Lotus Labs y Microsoft ayudaron a identificar la botnet.
- El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido advirtió que la campaña se configuró desde 2024 y con proyección hasta 2026, apuntando también a routers MikroTik.
El NCSC calificó la estrategia de APT28 como “de naturaleza oportunista”. Los atacantes lanzaron una red masiva de infecciones para luego filtrar a sus víctimas y seleccionar perfiles de alto valor de inteligencia.
Microsoft advirtió que esta técnica también permite el despliegue de malware o ataques de denegación de servicio. Por su parte, el DOJ exigió vigilancia corporativa tras catalogar las operaciones rusas como una “amenaza persistente”, demostrando que el primer frente de la guerra digital está instalado directamente en las casas y oficinas de usuarios comunes.
