Una operación internacional coordinada entre autoridades y empresas privadas ha desarticulado una campaña sofisticada que aprovechaba routers domésticos y de pequeñas oficinas para redirigir tráfico y robar credenciales de Microsoft. Detrás de la operación estaba el grupo conocido como APT28 —a menudo referido como Fancy Bear o Sofacy— y que las organizaciones de ciberseguridad han vinculado con unidades de inteligencia rusas; su perfil técnico puede consultarse en el repositorio público de MITRE MITRE ATT&CK: APT28.
El modus operandi era relativamente simple en su idea pero eficaz en la práctica: los atacantes comprometían routers expuestos a Internet —principalmente modelos de MikroTik y TP‑Link, además de algunos dispositivos de marcas como Nethesis y modelos antiguos de Fortinet— y cambiaban la configuración de DNS para que las consultas se resolvieran en servidores virtuales controlados por ellos. Al propagarse esa nueva configuración a los equipos internos mediante DHCP, todo el tráfico de nombres podía terminar siendo resuelto por la infraestructura maliciosa, que actuaba como resolutor y como un proxy de intermediario.
Cuando una víctima intentaba iniciar sesión en servicios de autenticación objetivo, la respuesta DNS podía devolver la IP del proxy del atacante en vez de la del servicio legítimo, dirigiendo así el flujo hacia un adversary‑in‑the‑middle (AitM). En muchos casos el único indicio visible para el usuario habría sido un aviso de certificado TLS no válido, un mensaje que muchas personas suelen ignorar por costumbre. Si se aceptaba o se omitia la alerta, el atacante podía reenviar las peticiones al servicio real mientras recopilaba datos sensibles, incluidos inicios de sesión y tokens OAuth válidos.
Los equipos de investigación describieron la campaña como operada en dos frentes: uno dedicado a buscar y comprometer dispositivos para ampliar la botnet, y otro enfocado en la intercepción y recolección de credenciales. Esa estrategia permitió a los atacantes construir una amplia superficie de posibles víctimas y luego filtrar entre ellas aquellas de verdadero interés.
El alcance de la amenaza fue notable: en su punto máximo, a finales de 2025, FrostArmada había alcanzado decenas de miles de dispositivos en más de un centenar de países, afectando principalmente a organismos gubernamentales, fuerzas de seguridad, proveedores de TI y alojamiento, así como a organizaciones que mantienen servidores propios o servicios de correo en local. Microsoft y los investigadores de Black Lotus Labs de Lumen detectaron actividad que también afectó a servidores on‑premise y a algunos servicios estatales, lo que confirmó que la campaña no se limitaba únicamente a cuentas alojadas en la nube. Puede leerse el análisis de Microsoft con más detalle en su informe técnico publicado por la compañía, y la agencia de ciberseguridad del Reino Unido expuso el problema desde la perspectiva de mitigación en su comunicado del NCSC. Los indicadores técnicos asociados al operativo también han sido recopilados por los investigadores en un repositorio público.
La cooperación entre empresas y fuerzas del orden fue clave para retirar la infraestructura ofensiva de la red. Microsoft trabajó junto a Lumen para trazar las rutas de la campaña y ayudar a identificar víctimas; con apoyo del FBI, del Departamento de Justicia de EE. UU. y de autoridades polacas se procedió a desactivar los servidores que recibían y reenviaban las consultas maliciosas. Ese tipo de acciones coordinadas demuestra que las operaciones de remediación a gran escala requieren tanto inteligencia técnica como apoyo legal internacional.
Desde el punto de vista técnico, la campaña pone en evidencia dos debilidades recurrentes: por un lado, la exposición de dispositivos SOHO con configuraciones o firmwares desactualizados y, por otro, la dependencia de mecanismos de resolución DNS tradicionales sin controles adicionales. Los atacantes explotaron esa combinación para desplegar un ataque a gran escala que no necesitaba vulnerabilidades zero‑day complejas: bastaba con acceso administrativo a los routers para imponer una cadena que afectara a todos los equipos detrás de ellos.
Para organizaciones y administradores las recomendaciones deben traducirse a medidas concretas y prácticas. En primer lugar, es fundamental comprobar la configuración de DNS en los equipos de borde y aplicar actualizaciones de firmware a routers y cortafuegos; los dispositivos fuera de soporte deben ser reemplazados. Para equipos corporativos, la aplicación de políticas de gestión de dispositivos móviles (MDM) que implementen certificate pinning puede impedir que un proxy intermedio acepte certificados no esperados y alertar inmediatamente sobre intentos de inspección de tráfico. Igualmente relevante es minimizar la exposición en el perímetro: reducir servicios accesibles públicamente, segmentar redes y usar controles de acceso que limiten el impacto si una caja de red es comprometida.
Desde la capa de identidad, aunque la campaña recogía tokens OAuth válidos, existen medidas que reducen el daño: habilitar protecciones de autenticación estrictas como exigencia de métodos de verificación basados en hardware, aplicar políticas de sesión y revocación de tokens ante sospecha de compromiso, y emplear reglas de acceso condicional que detecten anomalías geográficas o de dispositivo. La monitorización activa y la revocación de credenciales sospechosas deben ser procedimientos operativos estándar tras una alerta.
Finalmente, esta operación debe servir como recordatorio de que la seguridad de Internet no empieza ni termina en los centros de datos: los routers de oficina y domésticos son infraestructuras críticas que merecen la misma atención en mantenimiento y vigilancia. La colaboración entre sector privado y autoridades mostró que es posible mitigar campañas amplias, pero la prevención —mediante actualizaciones, configuración segura y prácticas de higiene digital— sigue siendo la defensa más eficaz contra este tipo de amenazas.
Si quieres profundizar en los hallazgos técnicos y disponer de IoC para revisar tu entorno, consulta el análisis de Microsoft aquí, la nota del NCSC del Reino Unido aquí y el listado de indicadores publicado por Black Lotus Labs en este repositorio.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...