Nos últimos meses, tem saído à luz uma operação de ciberespionagem em grande escala que tem aproveitado roteadores domésticos e de pequenos escritórios mal protegidos para “conhecer de dentro” redes de interesse político e administrativo. A campanha, que pesquisadores têm rastreado desde pelo menos maio de 2025 e que escalou de forma massiva em agosto, transformou aparelhos de marcas como MikroTik e TP-Link em portas de acesso que redirigiam o tráfego de DNS para servidores controlados pelos atacantes.
O ator responsável tem sido ligado a APT28, também conhecido em alguns relatórios como Forest Blizzard e em subgrupos como Storm‐2754, um coletivo com histórico de operações direcionadas a objetivos governamentais e de inteligência. Relatórios técnicos e notas de imprensa de equipamentos de inteligência em segurança explicam que os atacantes obtiveram acesso administrativo remoto a dispositivos SOHO vulneráveis e mudaram suas configurações de rede para forçar o uso de resolutores DNS sob seu controle. Ao modificar essas resoluções, poderiam redireccionar pedidos legítimos — incluindo páginas de e-mail web — para nós que atuavam como intermediários maliciosos e capturar credenciais, tokens e outras informações sensíveis sem interação aparente do usuário.
As análises públicas e o acompanhamento das infra-estruturas revelaram um alcance significativo: no seu apogeu, até dezembro de 2025, mais de 18 mil endereços IP únicos em pelo menos 120 países comunicavam com servidores associados à campanha, que alguns equipamentos de pesquisa denominaram FrostArmada. Entre os brancos estavam ministérios de relações externas, forças de segurança e provedores de correio e serviços na nuvem de terceiros em regiões tão diversas como o norte de África, a América Central, o Sudeste Asiático e a Europa. A Microsoft e outros equipamentos de inteligência identificaram centenas de organizações afetadas e milhares de dispositivos de consumidores comprometidos pela infraestrutura maliciosa.
O mecanismo técnico pelo qual se obtém vantagem é simples em seu conceito e perigoso em sua efetividade: Com controle do resolutor DNS na borda da rede, o atacante pode decidir qual endereço IP responde a uma consulta de nome, e dirige à vítima para infraestrutura própria para tentar ataques "actor‐in-the-middle" (AiTM). Esta posição não só facilita o roubo de palavras-passe e tokens OAuth, mas também permite observar padrões de comunicação, selecionar vítimas de valor e, em caso de querer escalar, implantar malware ou interromper serviços.
Em vários casos os pesquisadores descobriram que os roteadores TP‐Link modelo WR841N foram explorados através de uma vulnerabilidade de omissão de autenticação identificada como CVE‐2023‐50224, que permite extrair credenciais armazenadas através de pedidos HTTP especialmente manipulados. Também foi relatada atividade relacionada com roteadores MikroTik em locais específicos, sugerindo que a operação combinou técnicas automatizadas de barrido com ações interativas mais seletivas contra objetivos de maior interesse.
A natureza da campanha tem sido descrita por autoridades e centros de resposta como em parte oportunista: os atacantes obtêm visibilidade de uma ampla base de dispositivos comprometidos e filtram progressivamente até isolar usuários e organizações com valor para inteligência. Essa operacional se presta a uma exploração em escala, porque muitos roteadores domésticos e de pequenos escritórios funcionam com ajustes por defeito, senhas fracas ou firmware desatualizado, e também costumam escapar ao escrutínio das equipes de segurança corporativos.
Diante disso, a resposta internacional não demorou: A infra-estrutura lançada pelo ator foi desativada como parte de uma operação conjunta com autoridades americanas e parceiros internacionais. Essas intervenções buscam cortar os canais de exfiltração e evidenciar a atividade, mas a lição de fundo permanece: as redes corporativas e as contas críticas podem ser comprometidas através de dispositivos em aparência periférica e não gerenciados.
Para entender melhor quem estão por trás e quais técnicas usam, convém remeter-se para análise técnica e recursos abertos de referência. MITRE recolhe a corrida e táticas de APT28 na sua base ATT&CK ( grupo G0007), enquanto a descrição da falha que facilita a extração de credenciais está disponível nas bases de vulnerabilidades públicas ( CVE‐2023‐50224). Equipes de pesquisa da indústria como Lumen Black Lotus Labs e blogs de segurança corporativos vêm publicando relatórios e análises sobre campanhas de roteadores e sequestro de DNS; para contexto sobre ameaças e respostas, páginas oficiais de organizações como o NCSC do Reino Unido, a iniciativa Shields Up CISA e o blog de segurança da Microsoft são recursos úteis onde seguir recomendações e alertas públicos.
As implicações operacionais e políticas são relevantes. Um ator estatal ou quase-estatal que consegue visibilidade passiva sobre o tráfego de e-mails, acessos a painéis administrativos ou comunicações de ministérios obtém uma fonte de inteligência de baixo custo e difícil detecção. Esse tipo de acesso poderia ser utilizado exclusivamente para coleta, como foi observado até agora, mas a mesma posição de AiTM poderia permitir, se quisesse, introduzir cargas maliciosas, interferir serviços ou pivotar para redes internas mais protegidas.
Se você trabalha em uma organização que depende da segurança de contas corporativas ou serviços em nuvem, ou se você gerencia redes domésticas com equipamentos que oferecem acesso remoto, há medidas práticas que ajudam a reduzir o risco: manter o firmware de roteadores atualizado, mudar credenciais por defeito e desativar a administração remota quando não for estritamente necessária; usar resolutores DNS confiáveis e validar mudanças inesperadas na configuração do roteador; aplicar autenticação multifator em serviços críticos e monitorar qualquer comportamento incomum em login. As autoridades e os fornecedores publicam orientações concretas que convém seguir e aplicar com prioridade em infra-estruturas expostas.
Este caso sublinha uma realidade cada vez mais clara: A segurança não começa nem termina nos perímetros tradicionais da empresa. Dispositivos “pequenos” nas mãos de usuários ou escritórios satélite podem se tornar amplificadores de espionagem se não forem geridos com as práticas básicas de segurança. Estar atento a avisos de segurança, adesivo e redução da superfície de ataque são ações que, em conjunto, aumentam muito o custo para um atacante e podem evitar que uma operação deste tipo prospere.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...