Uma operação internacional coordenada entre autoridades e empresas privadas tem desarticulado uma campanha sofisticada que aproveitava roteadores domésticos e pequenos escritórios para redireccionar tráfego e roubar credenciais da Microsoft. Por trás da operação estava o grupo conhecido como APT28 — frequentemente referido como Fancy Bear ou Sofacy — e que as organizações de cibersegurança têm ligado a unidades de inteligência russas; seu perfil técnico pode ser consultado no repositório público do MITRE MITRE ATT&CK: APT28.
O modus operandi era relativamente simples na sua ideia, mas eficaz na prática: os atacantes comprometiam roteadores expostos à Internet — principalmente modelos de MikroTik e TP‐Link, além de alguns dispositivos de marcas como Nethesis e modelos antigos de Fortinet — e mudavam a configuração de DNS para que as consultas fossem resolvidas em servidores virtuais controlados por eles. Ao se espalhar essa nova configuração aos equipamentos internos através do DHCP, todo o tráfego de nomes poderia terminar sendo resolvido pela infraestrutura maliciosa, que atuava como resolutor e como um proxy de intermediário.
Quando uma vítima tentava iniciar sessão em serviços de autenticação alvo, a resposta DNS poderia devolver o IP do proxy do atacante em vez do serviço legítimo, dirigindo assim o fluxo para um adversary-in-the-middle (AitM). Em muitos casos, o único sinal visível para o usuário teria sido um aviso de certificado TLS inválido, uma mensagem que muitas pessoas costumam ignorar por costume. Se o alerta for aceite, o atacante podia reenviar os pedidos ao serviço real enquanto coletava dados sensíveis, incluindo inícios de sessão e tokens OAuth válidos.
As equipes de pesquisa descreveram a campanha como operada em duas frentes: um dedicado a buscar e comprometer dispositivos para ampliar a botnet, e outro focado na intercepção e coleta de credenciais. Essa estratégia permitiu aos atacantes construir uma ampla superfície de possíveis vítimas e depois filtrar entre elas aquelas de verdadeiro interesse.
O alcance da ameaça foi notável: no seu ponto máximo, no final de 2025, FrostArmada havia alcançado dezenas de milhares de dispositivos em mais de uma centena de países, afetando principalmente organismos governamentais, forças de segurança, fornecedores de TI e alojamento, bem como organizações que mantêm servidores próprios ou serviços de correio em local. A Microsoft e os investigadores do Black Lotus Labs de Lumen detectaram atividade que também afetou servidores on-premise e alguns serviços estatais, o que confirmou que a campanha não se limitava apenas a contas alojadas na nuvem. Você pode ler a análise da Microsoft com mais detalhes no seu relatório técnico publicado pela empresa, e a agência de cibersegurança do Reino Unido expôs o problema desde a perspectiva de mitigação em seu comunicado do NCSC. Os indicadores técnicos associados ao operacional também foram coletados pelos pesquisadores em um repositório público.
A cooperação entre empresas e forças da ordem foi fundamental para retirar a infraestrutura ofensiva da rede. A Microsoft trabalhou com Lumen para traçar as rotas da campanha e ajudar a identificar vítimas; com apoio do FBI, do Departamento de Justiça dos EUA. Nos EUA e nas autoridades polacas, os servidores que recebiam e reenviavam as consultas maliciosas. Esse tipo de acções coordenadas demonstra que as operações de remediação em larga escala exigem tanto inteligência técnica como apoio legal internacional.
Do ponto de vista técnico, a campanha evidencia duas fraquezas recorrentes: por um lado, a exposição de dispositivos SOHO com configurações ou firmwares desatualizados e, por outro, a dependência de mecanismos de resolução DNS tradicionais sem controles adicionais. Os atacantes exploraram essa combinação para lançar um ataque em grande escala que não precisava de vulnerabilidades zero-day complexas: bastava com acesso administrativo aos roteadores para impor uma cadeia que afetasse todos os equipamentos atrás deles.
Para organizações e administradores, as recomendações devem ser traduzidas para medidas concretas e práticas. Em primeiro lugar, é fundamental verificar a configuração de DNS nos equipamentos de borda e aplicar atualizações de firmware a roteadores e corta-fogos; os dispositivos fora de suporte devem ser substituídos. Para equipamentos corporativos, a aplicação de políticas de gestão de dispositivos móveis (MDM) que implementem certificate pinning pode impedir que um proxy intermediário aceite certificados não esperados e alertar imediatamente sobre tentativas de inspeção de tráfego. Igualmente relevante é minimizar a exposição no perímetro: reduzir serviços acessíveis publicamente, segmentar redes e usar controles de acesso que limitem o impacto se uma caixa de rede for comprometida.
Desde a camada de identidade, embora a campanha recogía tokens OAuth válidos, existem medidas que reduzem o dano: activar protecções de autenticação rigorosas como exigência de métodos de verificação baseados em hardware, aplicar políticas de sessão e revogação de tokens ante suspeita de compromisso, e empregar regras de acesso condicional que detectem anomalias geográficas ou de dispositivo. A monitorização activa e a revogação de credenciais suspeitas devem ser procedimentos operacionais normais após um alerta.
Finalmente, esta operação deve servir como lembrete de que a segurança da Internet não começa nem termina nos centros de dados: os roteadores de escritório e domésticos são infra-estruturas críticas que merecem a mesma atenção em manutenção e vigilância. A colaboração entre o sector privado e as autoridades mostrou que é possível mitigar campanhas amplas, mas a prevenção — através de atualizações, configuração segura e práticas de higiene digital — continua a ser a defesa mais eficaz contra este tipo de ameaças.
Se você quer aprofundar os achados técnicos e dispor de IoC para revisar seu ambiente, consulte a análise da Microsoft aqui, a nota do NCSC do Reino Unido aqui e a lista de indicadores publicada por Black Lotus Labs neste repositório.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...