Una campaña a gran escala del grupo Forest Blizzard, un actor de amenazas vinculado al ejército ruso, está atacando routers domésticos y de pequeñas oficinas para secuestrar tráfico DNS e interceptar comunicaciones cifradas. Hasta el momento, se han visto comprometidas más de 200 organizaciones y 5.000 dispositivos de consumidores. Forest Blizzard (también conocido como APT28 o Strontium)

Una campaña a gran escala del grupo Forest Blizzard, vinculado al ejército ruso, está atacando routers domésticos y de pequeñas oficinas para secuestrar el tráfico DNS e interceptar comunicaciones cifradas. Hasta ahora, se han visto comprometidas más de 200 organizaciones y 5.000 dispositivos de consumidores.

Forest Blizzard (también conocido como APT28 o Strontium) es un actor de amenazas que opera en apoyo directo a los objetivos de política exterior e inteligencia del gobierno ruso.

Microsoft observó que la campaña está activa desde al menos agosto de 2025. Forest Blizzard y su subgrupo Storm-2754 han estado atacando sistemáticamente dispositivos vulnerables de pequeñas oficinas/oficinas en casa (SOHO) y routers domésticos comunes para construir una infraestructura encubierta de recolección de inteligencia, difícil de detectar.

Microsoft Threat Intelligence confirmó que ningún activo o servicio propiedad de Microsoft fue comprometido.

Compromiso de routers y secuestro de DNS

La cadena de ataque comienza cuando Forest Blizzard obtiene acceso no autorizado a routers SOHO mal protegidos y modifica silenciosamente sus configuraciones de red predeterminadas. En concreto, el actor reemplaza la configuración legítima del resolvedor DNS del router con servidores DNS controlados por ellos.

Dado que los dispositivos finales, como portátiles, teléfonos y estaciones de trabajo, heredan automáticamente la configuración de red de los routers a través del Protocolo de Configuración Dinámica de Host (DHCP), cada dispositivo que se conecta a un router comprometido comienza, sin saberlo, a enviar sus solicitudes DNS a la infraestructura controlada por la inteligencia rusa.

Para realizar la resolución DNS, se evalúa con alta confianza que Forest Blizzard está utilizando dnsmasq, una utilidad legítima y ampliamente desplegada de reenvío DNS y DHCP integrada en muchos routers domésticos, pero reutilizada para interceptar y responder consultas DNS en el puerto 53.

Esto significa que el actor puede observar pasivamente cada búsqueda de dominio realizada por miles de víctimas sin activar las alarmas típicas asociadas a intrusiones directas en la red.

Ataques de Adversario-en-el-Medio (AiTM) en conexiones TLS

Para un subconjunto selecto de objetivos de alta prioridad, Forest Blizzard escaló más allá de la recolección pasiva de DNS a ataques activos de Adversario-en-el-Medio (AiTM) contra conexiones de Seguridad en la Capa de Transporte (TLS). La cadena de ataque completa, ilustrada en el diagrama anterior, funciona de la siguiente manera:

• El router comprometido redirige la consulta DNS de la víctima al resolvedor controlado por el actor.
• El resolvedor malicioso devuelve una dirección IP falsa, dirigiendo el dispositivo de la víctima a la infraestructura controlada por el actor en lugar del servicio legítimo.
• El dispositivo inicia una conexión TLS con el servidor del actor, que presenta un certificado TLS falso e inválido suplantando un servicio legítimo de Microsoft.
• Si la víctima ignora la advertencia del navegador o la aplicación sobre el certificado inválido, se completa el apretón de manos TLS.
• Forest Blizzard intercepta entonces el tráfico en texto plano subyacente, que podría incluir correos electrónicos, credenciales y contenido sensible alojado en la nube.

Microsoft confirmó ataques AiTM dirigidos a dominios de Microsoft Outlook en la web, así como a servidores gubernamentales no pertenecientes a Microsoft en al menos tres naciones africanas, donde se interceptaron solicitudes DNS y se realizó una recolección de datos posterior.

La campaña ha afectado a organizaciones de los sectores de gobierno, tecnología de la información, telecomunicaciones y energía, todos históricamente alineados con las prioridades de recolección de inteligencia militar rusa.

Aunque el compromiso a nivel de router abarca miles de dispositivos de consumidores, el componente de AiTM en TLS parece desplegarse selectivamente contra organizaciones consideradas de mayor valor de inteligencia, reflejando un enfoque disciplinado y escalonado de explotación.

Esta es la primera vez que Microsoft observa a Forest Blizzard desplegando secuestro de DNS a gran escala, específicamente para habilitar ataques AiTM en TLS tras explotar dispositivos en el borde de la red.

El ataque a dispositivos SOHO no es nuevo para actores rusos. El NCSC del Reino Unido documentó tácticas similares de explotación de routers por parte de APT28, pero la integración de recolección pasiva de DNS con interceptación activa selectiva representa una peligrosa evolución operativa.

Medidas de mitigación

Microsoft insta a organizaciones e individuos a tomar las siguientes medidas inmediatas:

• Reinicia y actualiza el firmware de los routers SOHO para eliminar vulnerabilidades conocidas.
• Cambia las credenciales predeterminadas en todos los routers domésticos y de oficina de inmediato.
• Audita la configuración DNS en máquinas Windows para detectar cambios no autorizados en las direcciones de los resolvedores DNS.
• Activa las advertencias de certificados y capacita a los empleados para que nunca ignoren los errores de certificados TLS.
• Implementa reglas de detección de Microsoft Defender para buscar modificaciones anómalas de DNS en la telemetría de los endpoints.
• Segmenta el tráfico de trabajadores remotos y exige el uso de VPN para reducir la exposición de credenciales en la nube a través de redes domésticas potencialmente comprometidas.

Las organizaciones deben tratar los dispositivos SOHO no gestionados utilizados por empleados remotos e híbridos como una superficie de ataque viable, porque para Forest Blizzard, ya lo son.