Microsoft ha annunciato di aver messo fine a FrostArmada, una pericolosa campagna colpevole di hackerare i router degli utenti.

Microsoft interrompe FrostArmada

Grazie a una operazione congiunta tra le forze dell’ordine, ricercatori di sicurezza, Microsoft e altre società coinvolte, si è potuto mettere fine alle attività di FrostArmada, una campagna del gruppo APT28 di origine russa che dirottava il traffico dai router MikroTik e TP-Link tramite la modifica degli indirizzi DNS per rubare le credenziali degli account Microsoft.

Una modifica alle impostazioni DNS su un singolo router può reindirizzare silenziosamente l’intero traffico di autenticazione di una rete. Nel caso di FrostArmada, Lumen ha osservato Forest Blizzard utilizzare questa tecnica per alimentare l’infrastruttura di un Attacker-in-the-Middle (AitM) con accessi mirati, passando da un’attività limitata a migliaia di vittime in tutto il mondo.

  • Black Lotus Labs sta monitorando FrostArmada, una campagna che associamo al gruppo di hacker Forest Blizzard.
  • Abbiamo scoperto che Forest Blizzard ha creato e reso operativa in via esclusiva la rete di supporto per perseguire obiettivi in ​​linea con i suoi interessi strategici.
  • L’attore ha compromesso i dispositivi periferici (in particolare i router MikroTik e TP-Link) e modificato le impostazioni DNS per reindirizzare parte del traffico relativo all’autenticazione.
  • Il reindirizzamento convogliava le vittime verso l’infrastruttura di AitM, consentendo la raccolta di credenziali e token con un’interazione minima da parte dell’utente finale.
  • Dopo la pubblicazione del rapporto “Authentic Antics” da parte del National Cyber ​​Security Centre (NCSC) del Regno Unito , avvenuta il 5 agosto 2025, Lumen ha rilevato un’ampia diffusione di attacchi ai router e reindirizzamenti DNS a partire dal giorno successivo, segno di un rapido adattamento delle tecniche di attacco.
  • Lumen Technologies, in collaborazione con Microsoft, l’FBI, il Dipartimento di Giustizia e partner internazionali, ha interrotto l’infrastruttura e l’ha disattivata.

Nel caso in cui aveste dei dubbi sulla sicurezza del vostro router ecco alcuni consigli per proteggere la vostra rete:

  1. Sostituire i router che non ricevono più supporto
  2. Installare la versione firmware più recente disponibile.
  3. Controllare i resolver DNS elencati nelle impostazioni del router.
  4. Esaminare e implementare le regole del firewall per prevenire l’esposizione indesiderata dei servizi di gestione remota.

Cosa ne pensate della faccenda? Scrivete la vostra opinione nei commenti.

Articolo di Windows Blog Italia
Fonti | 1, 2