Le autorità del Regno Unito e Microsoft hanno documentato una campagna di spionaggio informatico condotta da APT28 (noto anche come Fancy Bear) che ha sfruttato router domestici e aziendali di piccole dimensioni per manipolare il DNS e intercettare comunicazioni. Secondo i rapporti, l’operazione è iniziata nell’agosto 2026 e ha visto gli attori modificare le impostazioni di DHCP/DNS sui dispositivi compromessi in modo che il traffico di rete fosse risolto da server controllati dall’attaccante.
Questa tecnica ha permesso attacchi di tipo adversary-in-the-middle (AitM) contro accessi web e client di posta, con l’obiettivo di catturare password, token OAuth e altre credenziali sensibili. Microsoft ha segnalato oltre 200 organizzazioni e più di 5.000 dispositivi consumer impattati dall’inizio della campagna, confermando che si è trattato in gran parte di un’operazione opportunistica mirata a una larga platea per poi filtrare gli obiettivi di valore.
Meccanismo dell’intrusione
L’attacco in genere seguiva uno schema ripetibile: gli operatori acquisivano accesso a router esposti sfruttando vulnerabilità pubbliche, ottenevano credenziali e quindi riscrivevano i server DNS configurati via DHCP. I dispositivi a valle, come laptop e smartphone, ereditavano queste impostazioni e cominciavano a interrogare server DNS malevoli. Quando il dominio cercato corrispondeva ai criteri dell’attaccante, la risoluzione veniva reindirizzata verso infrastruttura controllata per facilitare un AitM e catturare materiale di autenticazione.
Infrastruttura e pattern osservati
Le indagini hanno individuato cluster di VPS che fungevano da server DNS malevoli, spesso identificabili da banner come “dnsmasq-2.85” e connessioni SSH su porte non standard. Questa infrastruttura riceveva grandi volumi di richieste DNS provenienti dai router compromessi, quindi inoltrava o risolveva solo i domini di interesse dell’attore, mentre per gli altri richieste restituiva risposte legittime, un comportamento che rendeva l’attività più difficile da rilevare.
Vulnerabilità e dispositivi sfruttati
Tra i dispositivi presi di mira figurano numerosi modelli TP-Link e alcuni MikroTik. Un esempio documentato è l’exploit della TP-Link WR841N tramite la vulnerabilità CVE-2026-50224, che consentiva a un attaccante non autenticato di ottenere informazioni come le credenziali attraverso richieste HTTP appositamente costruite. Dopo aver ottenuto le credenziali, gli operatori inviavano richieste per impostare server DNS primari o secondari a indirizzi malevoli, talvolta sovrascrivendo entrambi i campi in esiti di compromissioni ripetute.
Indicatori e domini osservati
Il NCSC ha pubblicato liste di modelli di router coinvolti e di domini presi di mira, incluse varianti di servizi di posta e autenticazione come outlook.live.com e outlook.office365.com, frequentemente usati per l’esfiltrazione di credenziali.
Pur essendo variabili nel tempo, questi indicatori aiutano i team di difesa a riconoscere pattern di dirottamento DNS e attività malevole correlate.
Conseguenze e raccomandazioni operative
La compromissione di router SOHO può trasformare un dispositivo poco monitorato in un punto di ingresso verso reti aziendali, consentendo movimenti laterali e accessi non autorizzati. Per mitigare il rischio il consiglio è trattare l’infrastruttura di rete come superficie d’attacco attiva: mantenere un inventario aggiornato, dare priorità alla gestione del ciclo di vita dei dispositivi, applicare patch firmware tempestive e disabilitare interfacce di gestione esposte su Internet.
Altre misure pratiche includono l’uso di credenziali uniche per ogni dispositivo, la segmentazione di rete per limitare l’impatto di un router compromesso e il monitoraggio delle risoluzioni DNS per individuare anomalie.
Le autorità, come ha sottolineato Paul Chichester del NCSC, invitano a consultare gli avvisi ufficiali e ad applicare le contromisure suggerite per ridurre la superficie esposta.
Discussione politica e responsabilità del fornitore
Negli Stati Uniti il dibattito sulle restrizioni alla vendita di router prodotti all’estero (misure promosse dalla FCC) ha riacceso la discussione sulla sicurezza dell’hardware di rete. Tuttavia esperti sottolineano che la provenienza non annulla il problema: software obsoleto, cicli di patch lenti e credenziali deboli sono fattori che favoriscono gli attacchi indipendentemente dal paese di produzione. Perciò la risposta deve combinare politiche pubbliche, pratiche di gestione del fornitore e buone abitudini di sicurezza da parte degli utenti.
