El actor de amenazas vinculado a Rusia conocido como APT28 (también conocido como Forest Blizzard) ha sido vinculado a una nueva campaña que ha comprometido enrutadores inseguros MikroTik y TP-Link y ha modificado su configuración para convertirlos en infraestructura maliciosa bajo su control como parte de una campaña de ciberespionaje desde al menos mayo de 2025.

La campaña de explotación a gran escala ha sido nombre en clave FrostArmada por Black Lotus Labs de Lumen, con Microsoft describiendo como un esfuerzo por explotar dispositivos de Internet vulnerables en hogares y pequeñas oficinas (SOHO) para secuestrar el tráfico DNS y permitir la recopilación pasiva de datos de red.

«Su técnica modificó la configuración de DNS en los enrutadores comprometidos para secuestrar el tráfico de la red local para capturar y exfiltrar las credenciales de autenticación», dijo Black Lotus Labs en un informe compartido con The Hacker News.

«Cuando un usuario solicitó dominios específicos, el actor redirigió el tráfico a un nodo de atacante intermedio (AitM), donde esas credenciales fueron recolectadas y exfiltradas. Este enfoque permitió un ataque casi invisible que no requirió interacción por parte del usuario final».

La infraestructura asociada con la campaña ha sido interrumpida y desconectada como parte de una operación conjunta en colaboración con el Departamento de Justicia de EE. UU., la Oficina Federal de Investigaciones y otros socios internacionales.

Se estima que la actividad comenzó en mayo de 2025 con una capacidad limitada, seguida de una explotación generalizada de enrutadores y una redirección de DNS a partir de principios de agosto. En su punto máximo en diciembre de 2025, se encontraron más de 18.000 direcciones IP únicas de no menos de 120 países comunicándose con la infraestructura APT28.

Estos esfuerzos se centraron principalmente en agencias gubernamentales, como ministerios de relaciones exteriores, fuerzas del orden y proveedores externos de servicios de nube y correo electrónico en países del norte de África, Centroamérica, el sudeste asiático y Europa.

El equipo de Microsoft Threat Intelligence, en su análisis de la campaña, atribuyó la actividad a APT28 y su subgrupo rastreado como Storm-2754. El gigante tecnológico dijo que identificó más de 200 organizaciones y 5.000 dispositivos de consumo afectados por la infraestructura DNS maliciosa del actor de amenazas.

«Para los actores de los estados-nación como Forest Blizzard, el secuestro de DNS permite una visibilidad y un reconocimiento a escala persistente y pasivo», dijo Redmond. «Al comprometer los dispositivos de borde que están aguas arriba de objetivos más grandes, los actores de amenazas pueden aprovechar activos menos monitoreados o administrados para pivotar hacia entornos empresariales».

La actividad de secuestro de DNS también ha facilitado los ataques AitM que hicieron posible facilitar el robo de contraseñas, tokens OAuth y otras credenciales para servicios web y relacionados con el correo electrónico, poniendo a las organizaciones en riesgo de sufrir un compromiso más amplio.

El desarrollo marca la primera vez que se observa que el colectivo adversario utiliza el secuestro de DNS a escala para admitir conexiones AiTM de Transport Layer Security (TLS) después de explotar dispositivos de borde, agregó Microsoft.

En un nivel alto, la cadena de ataque implica que APT28 obtenga acceso administrativo remoto a dispositivos SOHO y cambie las configuraciones de red predeterminadas para usar solucionadores de DNS bajo su control. La reconfiguración maliciosa hace que los dispositivos envíen sus solicitudes de DNS a servidores controlados por actores.

Esto, a su vez, hace que el servidor DNS malicioso resuelva las búsquedas de DNS para aplicaciones de correo electrónico o páginas de inicio de sesión. Luego, el actor de amenazas intenta realizar ataques AitM contra esas conexiones para robar las credenciales de las cuentas de los usuarios engañando a las víctimas para que se conecten a una infraestructura maliciosa.

Algunos de estos dominios están asociados con Microsoft Outlook en la web. Microsoft dijo que también identificó actividad de AitM dirigida a servidores no alojados por Microsoft en al menos tres organizaciones gubernamentales en África.

«Se cree que las operaciones de secuestro de DNS son de naturaleza oportunista, ya que el actor obtiene visibilidad de un gran grupo de usuarios objetivo candidatos y luego filtra a los usuarios en cada etapa de la cadena de explotación para clasificar a las víctimas de probable valor de inteligencia», dijo el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) dicho.

Se dice que APT28 aprovechó los enrutadores TP-Link WR841N para sus operaciones de envenenamiento de DNS probablemente aprovechando CVE-2023-50224 (Puntuación CVSS: 6,5), una vulnerabilidad de omisión de autenticación que podría usarse para extraer credenciales almacenadas a través de solicitudes HTTP GET especialmente diseñadas.

Se ha descubierto que un segundo grupo de servidores recibe solicitudes de DNS a través de enrutadores comprometidos y posteriormente las reenvía a servidores remotos propiedad de los actores. También se considera que este grupo ha participado en operaciones interactivas dirigidas a un pequeño número de enrutadores MikroTik ubicados en Ucrania.

«El secuestro de DNS de Forest Blizzard y la actividad AitM permiten al actor realizar recopilación de DNS en organizaciones sensibles en todo el mundo y es consistente con el mandato de larga data del actor de recopilar espionaje contra objetivos de inteligencia prioritarios», dijo Microsoft.

«Aunque sólo hemos observado que Forest Blizzard utiliza su campaña de secuestro de DNS para recopilar información, un atacante podría utilizar una posición AiTM para obtener resultados adicionales, como la implementación de malware o la denegación de servicio».

Investigadores de ciberseguridad han descubierto un conjunto de herramientas de acceso remoto de origen ruso que se distribuye a través de archivos maliciosos de acceso directo de Windows (LNK) disfrazados de carpetas de claves privadas. El kit de herramientas CTRL, según Censys, está diseñado a medida utilizando .NET e incluye varios ejecutables» para facilitar el phishing de credenciales, el registro de teclas, el secuestro del Protocolo de escritorio remoto (RDP) y el túnel inverso.

El Departamento de Justicia de EE.UU. (DoJ) dicho Un ciudadano ruso ha sido condenado a dos años de prisión por gestionar una botnet que se utilizaba para lanzar ataques de ransomware contra empresas estadounidenses.

Ilya Angelov, de 40 años, de Tolyatti, Rusia, también recibió una multa de 100.000 dólares. Se dice que Angelov, que utilizaba los alias en línea «milan» y «okart», codirigió un grupo cibercriminal con sede en Rusia conocido como TA551 (también conocido como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra y Shathak) entre 2017 y 2021.

«El grupo de Angelov construyó una red de computadoras comprometidas (una ‘botnet’) mediante la distribución de archivos infectados con malware adjuntos a correos electrónicos no deseados», dijo el Departamento de Justicia. «Angelov y su codirector monetizaron esta botnet vendiendo acceso a computadoras individuales comprometidas (‘bots’)».

Según el memorando de sentenciael grupo de amenazas desarrolló programas para distribuir correo electrónico no deseado y refinó malware para eludir las herramientas de seguridad. Angelov y su codirector reclutaron miembros y supervisaron las diversas actividades. La principal de sus herramientas era una puerta trasera a través de la cual se podía cargar software malicioso en las computadoras de la víctima.

El objetivo principal de los ataques era revender el acceso a otros grupos criminales, que lo aprovecharon para esquemas de extorsión mediante ransomware. Entre agosto de 2018 y diciembre de 2019, TA551 proporcionó el Grupo de ransomware BitPaymer con acceso a su botnet, lo que permitió a la banda de delitos electrónicos infectar a 72 corporaciones estadounidenses. Esto resultó en más de 14,17 millones de dólares en pagos de extorsión.

Los operadores del malware IcedID también pagaron al grupo de Angelov más de un millón de dólares para obtener acceso a la botnet a finales de 2019 o principios de 2020 y distribuir ransomware, aunque actualmente se desconoce el alcance del daño. Se sospecha que esta asociación floreció después de la disrupción del grupo BitPaymer. La colaboración duró aproximadamente hasta agosto de 2021, según la Oficina Federal de Investigaciones de EE. UU. (FBI).

En noviembre de 2021, Cybereason reveló que los operadores del troyano TrickBot se estaban asociando con TA551 para distribuir Conti Ransomware. Ese mismo mes, el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) también revelado que la banda de ransomware Lockean estaba utilizando los servicios de distribución ofrecidos por TA551 luego de la eliminación de la botnet Emotet por parte de las fuerzas del orden a principios de 2021.

«Los ciberdelincuentes extranjeros como este acusado apuntan a ciudadanos y corporaciones estadounidenses», dijo el fiscal federal Jerome F. Gorgon Jr. en un comunicado. «Sus métodos se vuelven más sofisticados. Pero su motivo sigue siendo el mismo: estafarnos y dañarnos».

El acontecimiento se produce un día después de que el Departamento de Justicia anunciara que otro ciudadano ruso, Aleksei Olegovich Volkov (también conocido como «chubaka.kor» y «nets»), de 26 años, fue sentenciado a casi 7 años de prisión después de declararse culpable de actuar como intermediario de acceso inicial (IAB) para ataques de ransomware Yanluowang dirigidos a ocho empresas en los EE. UU. entre julio de 2021 y noviembre de 2022.

Un tribunal federal de Indiana condenó a un ciberdelincuente ruso a 81 meses de prisión por cargos relacionados con su papel como intermediario de acceso inicial para grupos de ransomware.

Aleksei Volkov, de 26 años, de San Petersburgo, Rusia, se declaró culpable en noviembre de 2025 de seis cargos federales derivados de su trabajo con el grupo de ransomware Yanluowang y otras organizaciones cibercriminales entre julio de 2021 y noviembre de 2022. Fue arrestado en Roma y posteriormente extraditado a Estados Unidos.

Volkov, también conocido como “chubaka.kor”, operaba como intermediario de acceso inicial, una función especializada en la que identificaba y explotaba vulnerabilidades en redes corporativas y vendía ese acceso a operadores de ransomware. La función se ha vuelto cada vez más común en el ecosistema de ransomware, lo que permite a los delincuentes beneficiarse de los ataques sin implementar malware directamente ni ejecutar demandas de extorsión.

Según documentos judiciales, Volkov facilitó docenas de ataques que resultaron en más de 9 millones de dólares en pérdidas confirmadas para las víctimas y más de 24 millones de dólares en pérdidas previstas. Los fiscales identificaron siete empresas estadounidenses específicas que fueron objeto de ataques durante el período de 16 meses, entre ellas una empresa de ingeniería y un banco. Dos víctimas pagaron un total de 1,5 millones de dólares en pagos de rescate.

El grupo de ransomware Yanluowang empleó tácticas que van más allá del simple cifrado de datos. Las víctimas informaron haber recibido llamadas telefónicas de acoso y haber experimentado ataques distribuidos de denegación de servicio después de que les robaron sus datos, lo que representa una evolución en la forma en que los operadores de ransomware aplican presión a los objetivos.

Volkov recibió una compensación a través de tarifas fijas por proporcionar acceso a la red o porcentajes de los pagos de rescate cobrados a las víctimas. Cuando las víctimas se negaron a pagar, los conspiradores publicaron datos robados en sitios web de filtración diseñados para avergonzar a las empresas y potencialmente alentar a futuras víctimas a cumplir con las demandas.

Su declaración de culpabilidad cubrió cargos presentados en dos jurisdicciones separadas que luego se consolidaron, incluida la transferencia ilegal de un medio de identificación, tráfico de información de acceso, fraude de dispositivos de acceso, robo de identidad agravado, conspiración para cometer fraude informático y conspiración para cometer lavado de dinero.

Como parte de su sentencia, Volkov debe pagar una restitución total a las víctimas, incluidos al menos 9,1 millones de dólares a empresas identificadas, y confiscar el equipo utilizado en sus actividades delictivas.

Un ciudadano ruso de 26 años ha sido condenado en Estados Unidos a 6,75 años (81 meses) de prisión por su papel en la asistencia a importantes grupos de ciberdelincuencia, incluido el Yanluowang equipo de ransomware, en la realización de numerosos ataques contra empresas estadounidenses y otras organizaciones.

Según el Departamento de Justicia de Estados Unidos (DoJ), Alekséi Olegóvich Vólkov facilitó docenas de ataques de ransomware en todo Estados Unidos, causando más de 9 millones de dólares en pérdidas reales y más de 24 millones de dólares en pérdidas previstas. Volkov fue arrestado el 18 de enero de 2024 en Italia y extraditado a Estados Unidos para enfrentar cargos. Se declaró culpable de los crímenes en noviembre de 2025.

Se dice que Volkov actuó como intermediario de acceso inicial responsable de obtener acceso no autorizado a redes y sistemas informáticos pertenecientes a varias organizaciones y vender ese acceso a otros grupos delictivos, incluidos los actores de ransomware. Esto se logró explotando vulnerabilidades o encontrando formas de acceder a las redes sin autorización.

«Los cómplices de Volkov utilizaron el acceso proporcionado por Volkov para infectar las redes y sistemas informáticos afectados con malware», dijo el Departamento de Justicia. dicho. «Este malware cifró los datos de las víctimas y les impidió acceder a ellos, dañando sus operaciones comerciales».

«Los conspiradores luego exigieron que las víctimas les pagaran un rescate en criptomonedas, a veces de decenas de millones de dólares, a cambio de restaurar el acceso de las víctimas a los datos y prometer no revelar públicamente el hackeo ni liberar los datos robados de las víctimas en un sitio web de ‘filtración’».

Cada vez que una víctima pagaba un rescate, Volkov recibía una parte de las ganancias ilícitas. Fue acusado de transferencia ilegal de un medio de identificación, tráfico de información de acceso, fraude de dispositivos de acceso y robo de identidad agravado, además de dos cargos de fraude informático y conspiración para cometer lavado de dinero.

Como parte de la declaración de culpabilidad, el acusado acordó pagar una restitución total a las víctimas, incluidos al menos $9,167,198 a víctimas conocidas para compensarlas por sus pérdidas reales, además de perder las herramientas utilizadas para llevar a cabo los crímenes.

Estados Unidos acusa a un tercer negociador de ransomware vinculado a los ataques de BlackCat

La revelación se produce cuando los fiscales estadounidenses cargado un tercer individuo actúa como negociador para la banda de ransomware BlackCat (también conocido como ALPHV), ayudando a los actores de amenazas a extorsionar pagos más altos de al menos 10 víctimas. El hombre de 41 años, Angelo Martino (anteriormente identificado sólo como «Co-Conspirador 1»), trabajó como negociador de ransomware para DigitalMint.

Las autoridades han confiscado casi 9,2 millones de dólares en cinco tipos de criptomonedas (Bitcoin, Monero, Ripple, Solana y Stellar) de 21 carteras controladas por Martino, además de incautar vehículos y propiedades de lujo. Se enfrenta a hasta 20 años de prisión. Otros dos socorristas de incidentes, Ryan Clifford Goldberg y Kevin Tyler Martin, se declararon culpables de sus funciones como afiliados de BlackCat en diciembre de 2025.

En una declaración compartida con The Record, DigitalMint dijo que las acciones violaban la política y los estándares éticos de la compañía, y que había despedido tanto a Martino como a Martin después de que su comportamiento saliera a la luz.

«DigitalMint condena el comportamiento criminal de estos individuos, que es una clara violación de nuestros valores, nuestras normas éticas y la ley», afirma. dicho. «Tanto nuestra empresa como nuestra industria existen para apoyar a las organizaciones que sufren los impactos de un ciberataque, y esto va completamente en contra de lo que defendemos».

Un ex ejecutivo de L3 Harris fue sentenciado a más de siete años de prisión el martes después de declararse culpable de vender ocho exploits de día cero a un corredor ruso a cambio de millones de dólares.

Peter Williams, de 39 años, admitió dos cargos de robo de secretos comerciales en el Tribunal de Distrito de Estados Unidos en Washington, DC, el año pasado, reconociendo que tomó al menos ocho exploits o componentes de exploits mientras trabajaba en Trenchant, una unidad especializada en ciberseguridad propiedad de L3Harris. Los fiscales dijeron que los materiales estaban destinados a un uso restringido por parte del gobierno de Estados Unidos y sus socios aliados.

Las autoridades dijeron que Williams vendió la información robada a un corredor que se anunciaba como revendedor de herramientas de piratería y lo describió como un servicio a múltiples clientes, incluido el gobierno ruso. En el tribunal, el gobierno se refirió al comprador como “Compañía 3”, pero los detalles leídos en voz alta durante la audiencia de declaración de culpabilidad apuntaban a Operation Zero, un corredor de exploits ruso que se comercializa públicamente en línea como una plataforma para comprar vulnerabilidades de día cero.

Además, la Operación Cero fue una de las dos corredurías de día cero sancionado por el Tesoro de Estados Unidos en un anuncio separado hecho el martes.

Los fiscales dijeron que Williams usó su acceso a Trenchant durante aproximadamente tres años para obtener materiales patentados y celebró varios acuerdos con el corredor, recibiendo pagos en criptomonedas. Las autoridades dijeron que utilizó las ganancias para comprar artículos de lujo. El Departamento de Justicia ha estimado que el robo causó pérdidas por 35 millones de dólares al contratista, mientras que los fiscales dijeron que Williams ganó 1,3 millones de dólares vinculados a las ventas y se le debería ordenar que pague esa cantidad en restitución.

Los antecedentes de Williams agregaron otra capa que se observó en el tribunal. Los fiscales dijeron que anteriormente trabajó en la Dirección de Señales de Australia, la agencia de inteligencia de señales extranjeras de Australia. Los orígenes de Trenchant también son parte del historial: se formó después de que L3Harris adquiriera Azimuth Security y Linchpin Labs, empresas australianas asociadas con el desarrollo de exploits.

Ni Trenchant ni L3Harris están acusados ​​de irregularidades en el caso penal.

Para mayo está prevista una audiencia para una mayor restitución relacionada con las pérdidas de 35 millones de dólares.