{"id":489,"date":"2026-04-07T19:02:52","date_gmt":"2026-04-07T19:02:52","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/07\/apt28-vinculado-al-estado-ruso-explota-los-enrutadores-soho-en-una-campana-global-de-secuestro-de-dns-cyberdefensa-mx\/"},"modified":"2026-04-07T19:02:52","modified_gmt":"2026-04-07T19:02:52","slug":"apt28-vinculado-al-estado-ruso-explota-los-enrutadores-soho-en-una-campana-global-de-secuestro-de-dns-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/07\/apt28-vinculado-al-estado-ruso-explota-los-enrutadores-soho-en-una-campana-global-de-secuestro-de-dns-cyberdefensa-mx\/","title":{"rendered":"APT28, vinculado al Estado ruso, explota los enrutadores SOHO en una campa\u00f1a global de secuestro de DNS \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El actor de amenazas vinculado a Rusia conocido como APT28 (tambi\u00e9n conocido como Forest Blizzard) ha sido vinculado a una nueva campa\u00f1a que ha comprometido enrutadores inseguros MikroTik y TP-Link y ha modificado su configuraci\u00f3n para convertirlos en infraestructura maliciosa bajo su control como parte de una campa\u00f1a de ciberespionaje desde al menos mayo de 2025.<\/p>\n

La campa\u00f1a de explotaci\u00f3n a gran escala ha sido nombre en clave<\/a> FrostArmada<\/strong> por Black Lotus Labs de Lumen, con Microsoft describiendo<\/a> como un esfuerzo por explotar dispositivos de Internet vulnerables en hogares y peque\u00f1as oficinas (SOHO) para secuestrar el tr\u00e1fico DNS y permitir la recopilaci\u00f3n pasiva de datos de red.<\/p>\n

\u00abSu t\u00e9cnica modific\u00f3 la configuraci\u00f3n de DNS en los enrutadores comprometidos para secuestrar el tr\u00e1fico de la red local para capturar y exfiltrar las credenciales de autenticaci\u00f3n\u00bb, dijo Black Lotus Labs en un informe compartido con The Hacker News.<\/p>\n

\u00abCuando un usuario solicit\u00f3 dominios espec\u00edficos, el actor redirigi\u00f3 el tr\u00e1fico a un nodo de atacante intermedio (AitM), donde esas credenciales fueron recolectadas y exfiltradas. Este enfoque permiti\u00f3 un ataque casi invisible que no requiri\u00f3 interacci\u00f3n por parte del usuario final\u00bb.<\/p>\n

La infraestructura asociada con la campa\u00f1a ha sido interrumpida y desconectada como parte de una operaci\u00f3n conjunta en colaboraci\u00f3n con el Departamento de Justicia de EE. UU., la Oficina Federal de Investigaciones y otros socios internacionales.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se estima que la actividad comenz\u00f3 en mayo de 2025 con una capacidad limitada, seguida de una explotaci\u00f3n generalizada de enrutadores y una redirecci\u00f3n de DNS a partir de principios de agosto. En su punto m\u00e1ximo en diciembre de 2025, se encontraron m\u00e1s de 18.000 direcciones IP \u00fanicas de no menos de 120 pa\u00edses comunic\u00e1ndose con la infraestructura APT28.<\/p>\n

Estos esfuerzos se centraron principalmente en agencias gubernamentales, como ministerios de relaciones exteriores, fuerzas del orden y proveedores externos de servicios de nube y correo electr\u00f3nico en pa\u00edses del norte de \u00c1frica, Centroam\u00e9rica, el sudeste asi\u00e1tico y Europa.<\/p>\n

El equipo de Microsoft Threat Intelligence, en su an\u00e1lisis de la campa\u00f1a, atribuy\u00f3 la actividad a APT28 y su subgrupo rastreado como Storm-2754. El gigante tecnol\u00f3gico dijo que identific\u00f3 m\u00e1s de 200 organizaciones y 5.000 dispositivos de consumo afectados por la infraestructura DNS maliciosa del actor de amenazas.<\/p>\n

\u00abPara los actores de los estados-naci\u00f3n como Forest Blizzard, el secuestro de DNS permite una visibilidad y un reconocimiento a escala persistente y pasivo\u00bb, dijo Redmond. \u00abAl comprometer los dispositivos de borde que est\u00e1n aguas arriba de objetivos m\u00e1s grandes, los actores de amenazas pueden aprovechar activos menos monitoreados o administrados para pivotar hacia entornos empresariales\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

La actividad de secuestro de DNS tambi\u00e9n ha facilitado los ataques AitM que hicieron posible facilitar el robo de contrase\u00f1as, tokens OAuth y otras credenciales para servicios web y relacionados con el correo electr\u00f3nico, poniendo a las organizaciones en riesgo de sufrir un compromiso m\u00e1s amplio.<\/p>\n

El desarrollo marca la primera vez que se observa que el colectivo adversario utiliza el secuestro de DNS a escala para admitir conexiones AiTM de Transport Layer Security (TLS) despu\u00e9s de explotar dispositivos de borde, agreg\u00f3 Microsoft. <\/p>\n

En un nivel alto, la cadena de ataque implica que APT28 obtenga acceso administrativo remoto a dispositivos SOHO y cambie las configuraciones de red predeterminadas para usar solucionadores de DNS bajo su control. La reconfiguraci\u00f3n maliciosa hace que los dispositivos env\u00eden sus solicitudes de DNS a servidores controlados por actores.<\/p>\n

Esto, a su vez, hace que el servidor DNS malicioso resuelva las b\u00fasquedas de DNS para aplicaciones de correo electr\u00f3nico o p\u00e1ginas de inicio de sesi\u00f3n. Luego, el actor de amenazas intenta realizar ataques AitM contra esas conexiones para robar las credenciales de las cuentas de los usuarios enga\u00f1ando a las v\u00edctimas para que se conecten a una infraestructura maliciosa.<\/p>\n

Algunos de estos dominios est\u00e1n asociados con Microsoft Outlook en la web. Microsoft dijo que tambi\u00e9n identific\u00f3 actividad de AitM dirigida a servidores no alojados por Microsoft en al menos tres organizaciones gubernamentales en \u00c1frica.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abSe cree que las operaciones de secuestro de DNS son de naturaleza oportunista, ya que el actor obtiene visibilidad de un gran grupo de usuarios objetivo candidatos y luego filtra a los usuarios en cada etapa de la cadena de explotaci\u00f3n para clasificar a las v\u00edctimas de probable valor de inteligencia\u00bb, dijo el Centro Nacional de Seguridad Cibern\u00e9tica del Reino Unido (NCSC) dicho<\/a>.<\/p>\n

Se dice que APT28 aprovech\u00f3 los enrutadores TP-Link WR841N para sus operaciones de envenenamiento de DNS probablemente aprovechando CVE-2023-50224<\/a> (Puntuaci\u00f3n CVSS: 6,5), una vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n que podr\u00eda usarse para extraer credenciales almacenadas a trav\u00e9s de solicitudes HTTP GET especialmente dise\u00f1adas.<\/p>\n

Se ha descubierto que un segundo grupo de servidores recibe solicitudes de DNS a trav\u00e9s de enrutadores comprometidos y posteriormente las reenv\u00eda a servidores remotos propiedad de los actores. Tambi\u00e9n se considera que este grupo ha participado en operaciones interactivas dirigidas a un peque\u00f1o n\u00famero de enrutadores MikroTik ubicados en Ucrania.<\/p>\n

\u00abEl secuestro de DNS de Forest Blizzard y la actividad AitM permiten al actor realizar recopilaci\u00f3n de DNS en organizaciones sensibles en todo el mundo y es consistente con el mandato de larga data del actor de recopilar espionaje contra objetivos de inteligencia prioritarios\u00bb, dijo Microsoft.<\/p>\n

\u00abAunque s\u00f3lo hemos observado que Forest Blizzard utiliza su campa\u00f1a de secuestro de DNS para recopilar informaci\u00f3n, un atacante podr\u00eda utilizar una posici\u00f3n AiTM para obtener resultados adicionales, como la implementaci\u00f3n de malware o la denegaci\u00f3n de servicio\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El actor de amenazas vinculado a Rusia conocido como APT28 (tambi\u00e9n conocido como Forest Blizzard) ha sido vinculado a una nueva campa\u00f1a que ha comprometido enrutadores inseguros MikroTik y TP-Link y ha modificado su configuraci\u00f3n para convertirlos en infraestructura maliciosa bajo su control como parte de una campa\u00f1a de ciberespionaje desde al menos mayo de […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[286,133,24,1639,1229,852,851,457,52,148,1638,1637,132,242],"class_list":["post-489","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-apt28","tag-campana","tag-cyberdefensa-mx","tag-dns","tag-enrutadores","tag-estado","tag-explota","tag-global","tag-los","tag-ruso","tag-secuestro","tag-soho","tag-una","tag-vinculado"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/489","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=489"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/489\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}