APT28: Campaña de Hijacking de DNS que Explota Routers SOHO

Introducción

La amenaza cibernética conocida como APT28, vinculada al estado ruso, ha llevado a cabo una campaña global de hijacking de DNS utilizando routers domésticos y de pequeñas oficinas (SOHO). Esta actividad tuvo repercusiones significativas en el ámbito de la ciberseguridad, comprometiendo dispositivos de marcas como MikroTik y TP-Link, y permitiendo ataques de tipo adversario-en-medio.

¿Qué sucedió?

Desde mayo de 2025, APT28 ha estado explotando vulnerabilidades en routers SOHO para modificar la configuración de DNS y redirigir el tráfico de red local. La campaña, denominada FrostArmada por los Black Lotus Labs de Lumen, tuvo su apogeo en diciembre de 2025, con más de 18,000 direcciones IP únicas conectadas al infraestructura de APT28 en al menos 120 países. Esto incluye agencias gubernamentales y proveedores de servicios en la nube, lo que revela un objetivo claro de espionaje cibernético.

Impacto y Riesgo

Las técnicas utilizadas permitieron la recolección pasiva de datos de autenticación al redirigir a las víctimas hacia nodos controlados por los atacantes, facilitando la sustracción de credenciales sin requerir interacción del usuario. Este tipo de ataque es particularmente peligroso, dadas las implicaciones para la privacidad de datos y la seguridad nacional.

Recomendaciones

• Actualizar el firmware de los routers SOHO regularmente.
• Implementar medidas de seguridad adicionales, como VPN y firewalls.
• Educar a los usuarios sobre la importancia de la ciberseguridad y señales de posibles ataques.
• Realizar auditorías de red frecuentes para detectar cualquier irregularidad.

Conclusión

La campaña FrostArmada de APT28 subraya la necesidad crítica de asegurar los dispositivos SOHO y mejorar la ciberdefensa ante amenazas persistentes. La colaboración internacional y la vigilancia proactiva son esenciales para mitigar riesgos y proteger la infraestructura crítica.