Lumen旗下Black Lotus Labs将俄罗斯关联威胁行为体APT28（又名Forest Blizzard）与一场新行动关联，该行动自2025年5月起入侵不安全的MikroTik和TP-Link路由器，修改设置将其转为受控恶意基础设施，作为网络间谍活动的一部分。

这场大规模利用行动被Black Lotus Labs命名为FrostArmada，微软称其为利用脆弱的家庭和小型办公（SOHO）网络设备劫持DNS流量、实现网络数据被动收集的行动。

Black Lotus Labs在与The Hacker News分享的报告中表示：”其技术修改受入侵路由器的DNS设置，劫持本地网络流量以捕获和外泄认证凭证。当用户请求目标域名时，攻击者将流量重定向至中间人（AitM）节点，在那里收集并外泄凭证。这种方式实现了几乎不可见的攻击，无需终端用户交互。”

相关基础设施已在与美国司法部、联邦调查局及其他国际合作伙伴的联合行动中被破坏并下线。

据评估，该活动最早可追溯至2025年5月的有限规模，随后8月初开始大规模路由器利用和DNS重定向。2025年12月高峰期，发现来自至少120个国家的超过1.8万个独立IP地址与APT28基础设施通信。

这些行动主要针对政府机构，如北非、中美、东南亚和欧洲各国的外交部、执法部门及第三方邮件和云服务提供商。

微软威胁情报团队将该活动归因于APT28及其子组织Storm-2754。这家科技巨头称，已识别超过200个组织和5000台消费设备受威胁行为体恶意DNS基础设施影响。

微软表示：”对于Forest Blizzard等国家支持行为体，DNS劫持实现大规模持久被动可见性和侦察。通过入侵大型目标上游的边缘设备，威胁行为体可利用监控或管理较松散的资产，转向企业环境。”

DNS劫持活动还促进了AitM攻击，使得窃取网页和邮件服务密码、OAuth令牌及其他凭证成为可能，使组织面临更广泛沦陷的风险。

微软补充，这是首次观察到该对抗性集体在利用边缘设备后，大规模使用DNS劫持支持传输层安全（TLS）连接的AiTM。

攻击链大体为：APT28获取SOHO设备远程管理访问权限，更改默认网络配置使用其控制的DNS解析器。恶意重配置使设备将DNS请求发送至攻击者控制的服务器。

这导致邮件应用或登录页面的DNS查询由恶意DNS服务器解析。威胁行为体随后尝试对这些连接发动AitM攻击，诱骗受害者连接恶意基础设施以窃取用户账户凭证。

部分域名与微软Outlook网页版关联。微软称，还识别出针对非洲至少三个政府组织非微软托管服务器的AitM活动。

英国国家网络安全中心（NCSC）表示：”据信DNS劫持行动具有机会主义性质，攻击者先获得大量候选目标用户的可见性，然后在利用链各阶段筛选用户，甄别可能具有情报价值的受害者。”

据称APT28利用TP-Link WR841N路由器进行DNS投毒操作，可能利用CVE-2023-50224（CVSS评分6.5）——一个认证绕过漏洞，可通过特制HTTP GET请求提取存储的凭证。

已发现第二组服务器集群通过受入侵路由器接收DNS请求，随后转发至远程攻击者拥有的服务器。该集群还被评估对乌克兰少量MikroTik路由器进行了交互式操作。

微软表示：”Forest Blizzard的DNS劫持和AitM活动使该行为体能够对全球敏感组织进行DNS收集，与其长期以来针对优先情报目标进行间谍收集的任务一致。虽然我们仅观察到Forest Blizzard利用DNS劫持活动进行信息收集，但攻击者可利用AiTM位置实现额外成果，如恶意软件部署或拒绝服务。”