Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
APT28 dirotta i DNS dei router SOHO: 18.000 IP coinvolti, credenziali rubate in silenzio
Una nuova campagna di cyber spionaggio attribuita al gruppo APT28 ha mostrato quanto i router SOHO possano diventare un punto debole critico per aziende e pubbliche amministrazioni. Gli attaccanti hanno compromesso router MikroTik e TP Link non sicuri, modificandone le impostazioni di rete per trasformarli in infrastruttura malevola sotto controllo remoto.
Il cuore dell’operazione è stato il dirottamento DNS, una tecnica che permette di manipolare la risoluzione dei domini e quindi instradare il traffico degli utenti verso server controllati dagli aggressori.
Il meccanismo è efficace perché agisce a monte, sul dispositivo che gestisce la connettività di casa o ufficio. Ottenuto l’accesso amministrativo al router, gli attori cambiano i resolver DNS predefiniti con resolver malevoli. Da quel momento, quando un utente tenta di raggiungere servizi web o di posta, la richiesta DNS può ricevere risposte fraudolente. Questo abilita attacchi adversary in the middle, in cui la vittima viene indirizzata verso un nodo intermedio controllato dall’attaccante, capace di intercettare credenziali senza richiedere azioni evidenti all’utente.
Secondo le analisi disponibili, la campagna è attiva almeno da maggio 2025 e ha avuto una fase di espansione significativa da agosto 2025. Nel picco di dicembre 2025 sono stati osservati oltre 18.000 indirizzi IP unici in più di 120 paesi comunicare con l’infrastruttura degli aggressori. I bersagli principali includono enti governativi, ministeri degli affari esteri, forze dell’ordine e fornitori terzi di servizi email e cloud in aree come Nord Africa, America Centrale, Sud Est asiatico ed Europa. Sono stati inoltre identificati impatti su organizzazioni e dispositivi consumer, segno di una strategia opportunistica che parte da un bacino ampio e poi seleziona le vittime di maggiore valore informativo.
Un elemento rilevante è l’uso di vulnerabilità note per facilitare la compromissione. Nel caso di alcuni router TP Link WR841N, viene citata una falla di bypass autenticazione che può consentire l’estrazione di credenziali memorizzate tramite richieste HTTP appositamente costruite. Una volta in posizione di intercettazione, gli attaccanti possono sottrarre password, token OAuth e altre credenziali legate a servizi webmail e login, con rischi di compromissione più ampia e possibili evoluzioni verso distribuzione malware o denial of service.