✨︎ Resumen (TL;DR):
- El gobierno del Reino Unido desmanteló la campaña FrostArmada operada por el grupo de espionaje ruso APT28.
- Los atacantes explotaron la vulnerabilidad CVE-2023-50224 para alterar la configuración de modelos TP-Link y MikroTik.
- La operación redirigía el tráfico de las víctimas para extraer credenciales corporativas y personales sin ser detectados.
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) desmanteló una campaña masiva del grupo ruso APT28, el cual secuestraba routers domésticos y de pequeñas oficinas para robar credenciales de Microsoft 365 y contraseñas de correo.
La operación, bautizada por investigadores como FrostArmada, operó activamente desde 2024 con planes proyectados hasta 2026. Los atacantes apuntaron contra hardware de las marcas TP-Link y MikroTik.
Al comprometer estos dispositivos, el grupo ejecutaba un ataque de adversario en el medio. Su táctica consistía en redirigir el tráfico de internet para capturar los inicios de sesión directamente desde el hardware de red.
El reporte técnico detalla que el modelo TP-Link WR841N fue uno de los principales objetivos. Los atacantes aprovecharon la falla CVE-2023-50224, la cual permite a usuarios no autenticados extraer contraseñas enviando peticiones HTTP modificadas.
Redirección de tráfico y el historial del Escuadrón 26165
Una vez dentro del equipo, los cibercriminales alteraban la configuración DHCP y DNS del router. Esto provocaba que cualquier computadora o celular de la red local heredara los parámetros maliciosos.
Las búsquedas web dirigidas hacia los servidores de Microsoft Outlook o Microsoft 365 terminaban en páginas falsas controladas por el grupo ruso. El resto de la navegación de los usuarios funcionaba de forma normal para evadir cualquier sospecha de hackeo.
El NCSC evaluó que esta campaña es “probablemente de naturaleza oportunista”. La estrategia de APT28 consistía en capturar información masiva para después seleccionar perfiles con alto valor de inteligencia.
Este grupo opera bajo la estructura formal de la Unidad Militar 26165 del GRU de Rusia y tiene un largo historial de ataques a dispositivos periféricos. En febrero de 2024, Estados Unidos neutralizó una botnet de routers Ubiquiti usada para campañas de spearphishing.
El año pasado, una coalición de 21 agencias de inteligencia de 11 países expuso otra ofensiva de esta unidad contra empresas de logística y tecnología. Además, el gobierno británico les atribuyó el desarrollo del malware Authentic Antics en 2025.
Paul Chichester, director de operaciones del NCSC, advirtió que este caso “demuestra cómo los actores hostiles sofisticados pueden aprovechar las vulnerabilidades explotadas en dispositivos de red de uso generalizado”. El organismo instó a proteger las interfaces de administración de los routers y habilitar la autenticación multifactor.
