Um dos grupos de hackers mais persistentes do mundo encontrou uma nova maneira de permanecer oculto. O ator de ameaça conhecido como Fancy Bear, formalmente rastreado como APT28 e atribuído à unidade de inteligência militar russa GRU 26165, tem mudado silenciosamente como executa operações de ciberataque.
Descoberta e escopo da infraestrutura
Em vez de depender de infraestrutura tradicional, o grupo agora sequestra roteadores domésticos e dispositivos de consumo para construir uma rede de sombra quase impossível de rastrear. Analistas da Sekoia, que acompanham o APT28 há vários anos, identificaram uma mudança estrutural significativa na forma como o grupo gerencia sua infraestrutura de ataque.
A escala dessa infraestrutura é impressionante. No pico em dezembro de 2025, pesquisadores observaram mais de 18.000 endereços IP únicos em 120 países se comunicando com servidores controlados pelo APT28. Cerca de 200 organizações e 5.000 dispositivos de consumo foram afetados, com vítimas vindas principalmente de ministérios das relações exteriores, agências de aplicação da lei e provedores de hospedagem de TI.
O que mudou agora: a evolução do tradecraft
O tradecraft do APT28 evoluiu drasticamente. O grupo mudou de uma estrutura de malware estável para implantar ferramentas de curto prazo e de propósito único, descartadas no momento em que são expostas. Também experimentou com um infostealer impulsionado por IA chamado LameHug, que consulta um modelo de IA em tempo real para gerar comandos de ataque sob demanda.
A combinação de ferramentas descartáveis, abuso de nuvem e sequestro de roteadores torna o APT28 um dos atores de ameaça mais capazes ativos hoje. A campanha FrostArmada, lançada em 2026, ampliou essa abordagem, mirando em roteadores MikroTik e TP-Link.
Vetor e exploração: roteadores e DNS
A mudança tática mais significativa é a tomada de controle de roteadores de consumo. O grupo reaproveitou uma botnet criminal construída com o malware MooBot, tomando o controle de centenas de roteadores Ubiquiti EdgeRouters em abril de 2022. A botnet serviu para três propósitos: retransmitir hashes de autenticação roubados para o Microsoft Exchange, hospedar páginas de phishing em endereços IP residenciais e executar scripts Python personalizados nos roteadores sequestrados.
Em 2026, o APT28 ampliou a mesma abordagem com a campanha FrostArmada, mirando em roteadores MikroTik e TP-Link. Os atacantes reescreveram as configurações de DNS para redirecionar o tráfego através de seus próprios servidores controlados. Cada dispositivo nas redes afetadas canalizaria sem saber suas solicitações de login através dos nós do APT28, permitindo o roubo silencioso de credenciais e tokens OAuth para serviços como Microsoft 365.
Impacto e alcance global
O impacto dessa infraestrutura é global, com tráfego de ataque se misturando à atividade normal da internet. A FBI Operation Dying Ember desmantelou essa rede em 2024, mas mesmo após a derrubada, mais de 350 servidores de datacenter ainda se conectavam à infraestrutura do atacante, mostrando o quão difícil é erradicar completamente esse tipo de botnet.
Medidas de mitigação recomendadas
Para reduzir a exposição, as organizações devem manter o firmware do roteador atualizado, alterar as credenciais padrão e desativar recursos de gerenciamento remoto não utilizados. Empresas que usam serviços em nuvem devem implementar autenticação multifator resistente a phishing e auditar regularmente as permissões de token OAuth.
O que os CISOs devem fazer imediatamente
Os CISOs devem revisar as configurações de roteadores em toda a rede, especialmente em ambientes de escritório em casa (SOHO). A monitorização de tráfego de saída para endereços IP desconhecidos e a verificação de configurações de DNS são essenciais. O FBI's Internet Crime Complaint Center publicou um alerta público instando usuários domésticos e pequenas empresas a revisar as configurações dos roteadores após a divulgação da FrostArmada.
Perguntas frequentes
Qual é o principal vetor de ataque? O sequestro de roteadores domésticos e a reconfiguração de DNS.
Como identificar a infecção? Monitorar tráfego de saída incomum e verificações de integridade de firmware.
Qual a recomendação principal? Atualizar firmware e desativar gerenciamento remoto não utilizado.