TL;DR
Interrupção da operação: O FBI desmantelou uma rede russa de sequestro de DNS GRU chamada FrostArmada, que comprometeu 18.000 roteadores em 120 países. Método de ataque: os invasores transformaram roteadores MikroTik e TP-Link comprometidos em proxies invisíveis para interceptar logins do Microsoft 365 e roubar tokens de autenticação. Escala: A Microsoft identificou mais de 200 organizações e 5.000 dispositivos de consumo presos na rede no pico de dezembro de 2025. Gatilho de escalada: A campanha expandiu-se acentuadamente depois de um relatório do NCSC do Reino Unido, em agosto de 2025, ter exposto as capacidades de ferramentas do grupo. Orientação do usuário: Os usuários de roteadores SOHO devem atualizar o firmware, verificar as configurações de DNS e bloquear interfaces de gerenciamento remoto expostas.
As autoridades federais desmantelaram uma rede de inteligência militar russa em 7 de abril, encerrando uma campanha FrostArmada que interceptou logins do Microsoft 365 de 18 mil roteadores comprometidos em 120 países. Um único aviso rejeitado do navegador separou as vítimas da operação.
A “Operação Máscara” autorizada pelo tribunal interrompeu uma rede de sequestro de DNS controlada pela unidade GRU da Rússia 26165. Rastreada como FrostArmada ou Forest Blizzard, a campanha transformou roteadores MikroTik e TP-Link comprometidos em proxies invisíveis. A contagem de vítimas da Microsoft identificou mais de 200 organizações e 5.000 dispositivos de consumo capturados na rede. Agências governamentais, autoridades policiais e provedores de TI em todo o mundo atraíram a segmentação primária.
Como funcionou o ataque
Roteadores expostos à Internet suportaram o peso da campanha. Os modelos MikroTik e TP-Link enfrentaram os alvos mais pesados, juntamente com produtos de firewall da Nethesis e hardware Fortinet mais antigo. Depois de obter acesso, os invasores enviaram configurações de DNS maliciosas via DHCP para todos os dispositivos conectados. Tráfego redirecionado através da infraestrutura adversária sem o conhecimento do usuário.
Um alerta do navegador sobre um certificado TLS inválido serviu como o único aviso visível. Ignorá-lo concedeu ao agente da ameaça acesso a comunicações não criptografadas na Internet, incluindo sessões do Microsoft 365 e Outlook na web. Os invasores também falsificaram respostas de DNS em alguns casos, forçando os endpoints diretamente para a infraestrutura de ataque, em vez de simplesmente redirecionar por meio de resolvedores modificados.
Pesquisadores do Black Lotus Labs da Lumen descreveram a operação como um serviço de proxy executado no adversário na posição intermediária. Um processo de filtragem automatizado classificado por meio de solicitações de DNS interceptadas para identificar alvos de alto valor. FrostArmada pode comprometer amplamente e depois focar seletivamente.
“Todo mundo está procurando algum malware sofisticado para colocar algo em seus dispositivos móveis ou algo assim. Esses caras não usaram malware. Eles fizeram isso de uma maneira tradicional e grisalha que não é muito sexy, mas dá conta do recado”
Ryan English, engenheiro de segurança da Lumen
Qualquer dispositivo compartilhando uma rede com um roteador comprometido enfrentava a exposição de senhas não criptografadas, tokens de autenticação e e-mails.
Escala e metas
O FrostArmada atingiu 18.000 dispositivos infectados em 120 países em seu pico em dezembro de 2025. Agências governamentais, autoridades policiais, provedores de TI e organizações que administram seus próprios servidores atraíram a segmentação primária.
Além do ecossistema Microsoft 365, a campanha também interceptou solicitações de DNS de três organizações governamentais africanas não hospedadas na infraestrutura da Microsoft. Os pesquisadores observaram o direcionamento de entidades com servidores de e-mail locais no Norte da África, América Central e Sudeste Asiático. Também surgiu uma ligação a uma plataforma de identidade nacional num país europeu.
Os routers comprometidos nos Estados Unidos abrangem mais de 23 estados. As equipes do FBI e do DOJ lideraram a interrupção, com o apoio do governo polonês.
Detalhes da operação Masquerade
Os engenheiros do FBI desenvolveram comandos para redefinir as configurações de DNS em roteadores comprometidos, forçando-os a obter resolvedores legítimos de seus ISPs. Testes extensivos no firmware e hardware TP-Link precederam a implantação. Os comandos não interromperiam a funcionalidade normal do roteador nem coletariam dados legítimos do usuário. As redefinições de fábrica podem reverter as alterações autorizadas pelo tribunal.
A coordenação com os ISPs continua para notificação do usuário. Investigadores federais publicaram orientações de remediação em um anúncio de serviço público (PSA260407) por meio do Internet Crime Complaint Center.
“A Operação Masquerade demonstra o compromisso do FBI em identificar, expor e interromper os esforços do governo russo para comprometer dispositivos americanos, roubar informações confidenciais e atingir infraestruturas críticas”
Brett Leatherman, diretor assistente da Divisão Cibernética do FBI (via Departamento de Justiça dos EUA)
Antecedentes e escalada
APT28, também rastreado como Fancy Bear, Sofacy, Strontium, Storm-2754 e Sednit estão vinculados à unidade GRU 26165 da Rússia. Desde 2024, o grupo tem comprometido roteadores TP-Link, explorando vulnerabilidades conhecidas para roubar credenciais.
As primeiras atividades da FrostArmada datam de maio de 2025, quando o primeiro nó adversário no meio foi identificado recebendo tráfego DNS de um MikroTik do governo afegão roteador. A publicação do relatório Authentic Antics do UK NCSC em agosto passado desencadeou uma forte aceleração. A Lumen detectou uma exploração generalizada a partir do dia seguinte. Antes da publicação, o grupo usava esse recurso com moderação. Depois disso, eles implantaram-no sistematicamente em todos os roteadores vulneráveis que encontraram, de acordo com os engenheiros de segurança do Black Lotus Labs.
Duas equipes distintas executaram a operação. Um grupo de expansão focado no crescimento da botnet, enquanto um grupo separado lidava com ataques de adversários intermediários e coleta de credenciais.
O que os usuários devem fazer
Os usuários de roteadores SOHO devem substituir dispositivos não suportados, instalar o firmware mais recente, verificar as configurações de DNS e bloquear interfaces de gerenciamento remoto expostas com regras de firewall. A fixação de certificados em dispositivos corporativos gerenciados por meio de soluções MDM gerará erros quando a infraestrutura do invasor interceptar o tráfego, de acordo com o Black Lotus Labs. O anúncio de serviço público do IC3 fornece orientações adicionais de correção para os usuários afetados.
