La operación, atribuida al grupo APT28 (también conocido como Fancy Bear), ha sido confirmada por investigadores británicos de seguridad del NCSC y Black Lotus Labs.

El ataque explota vulnerabilidades conocidas en routers MikroTik y TP-Link, muchas de las cuales están desactualizadas o tienen firmware obsoleto. Uno de los fallos más explotados es el CVE-2023-50224, que permite a un atacante no autenticado obtener información sensible mediante solicitudes HTTP manipuladas. Millones de dispositivos nunca han recibido el parche, lo que los convierte en un objetivo ideal .

El método principal utilizado es el secuestro de DNS: al cambiar la configuración DNS del router, los hackers redirigen las solicitudes de los usuarios a servidores controlados por la infraestructura rusa. Las víctimas son luego dirigidas a páginas de inicio de sesión suplantadas, idénticas a las reales, donde introducen sus credenciales sin saberlo.

Esta técnica ya ha permitido a los atacantes interceptar contraseñas, tokens OAuth y otros datos sensibles, además de eludir la autenticación de dos pasos. En muchos casos, el router siguió funcionando con normalidad, haciendo que la intrusión fuera invisible para los usuarios.

Según el análisis, la campaña ha comprometido hasta ahora al menos 18.000 routers en unos 120 países, afectando a agencias gubernamentales, fuerzas de seguridad, proveedores de correo electrónico e infraestructuras críticas, principalmente en África, el norte de África, Centroamérica y el sudeste asiático.

Microsoft ha confirmado que más de 200 organizaciones y 5.000 dispositivos de consumo están afectados, incluidos ministerios de Asuntos Exteriores y agencias gubernamentales en África. La empresa publicó un informe técnico que describe cómo los routers comprometidos propagan configuraciones DNS maliciosas a todos los dispositivos conectados a la red local.

El grupo APT28, vinculado al servicio de inteligencia militar ruso GRU, es conocido por operaciones de espionaje de alto perfil, incluyendo el ataque al Comité Nacional Demócrata de EE.UU. en 2016 y el sabotaje de sistemas satelitales Viasat en 2022. La campaña de routers representa una evolución estratégica: en lugar de atacar servidores gubernamentales protegidos, ataca dispositivos periféricos, que a menudo son descuidados y carecen de vigilancia.

Las autoridades estadounidenses y británicas han lanzado operaciones coordinadas para desmantelar la infraestructura utilizada por hackers. Se espera que el FBI anuncie la incautación de varios dominios utilizados para la redirección del tráfico, mientras que socios internacionales han trabajado juntos para desactivar servidores y VPS usados como nodos de la red maliciosa.

El caso pone de manifiesto la creciente vulnerabilidad de los dispositivos de red doméstica, que a menudo están configurados con contraseñas predeterminadas o no se han actualizado en años. Los expertos señalan que los routers representan un punto de entrada crítico: al controlarlos, un atacante puede manipular el tráfico de todos los dispositivos conectados, incluidos smartphones, PCs y dispositivos IoT. El NCSC también ha publicado una lista de routers TP-Link bajo ataque, que informamos a continuación.