APT28 e il DNS Hijacking su SOHO Router: Analisi Tecnica dell'Advisory NCSC (Aprile 2026)
L'UK National Cyber Security Centre (NCSC) ha pubblicato il 7 aprile 2026 un advisory tecnico che espone in dettaglio come il gruppo russo APT28 stia compromettendo router SOHO su scala globale per dirottare il traffico DNS e condurre attacchi Adversary-in-the-Middle (AitM) [web:1][web:2]. La campagna — battezzata FrostArmada da Lumen's Black Lotus Labs e Operation Masquerade dall'FBI — ha prodotto effetti concreti: più di 200 organizzazioni e 5.000 dispositivi consumer compromessi in almeno 120 paesi [web:4].
Chi è APT28
APT28 — noto anche come Forest Blizzard, Fancy Bear, STRONTIUM, Sednit, Sofacy — è con altissima probabilità l'Unità Militare 26165 del GRU russo (85° Centro Principale di Servizi Speciali, GTsSS) [web:1]. Non è un gruppo di script kiddie: parliamo di una delle strutture di cyber-intelligence più capaci al mondo, già responsabile degli attacchi al Bundestag tedesco nel 2015 e del tentativo di compromissione dell'OPCW nel 2018 [web:1]. L'attività descritta in questo advisory ha avuto inizio in forma limitata intorno a maggio 2025, per poi esplodere in campagna massiva da agosto 2025, con un picco a dicembre 2025 di 18.000 IP unici [web:4].
La Kill Chain: Come Funziona l'Attacco
L'architettura dell'attacco è elegante nella sua semplicità operativa. APT28 non attacca direttamente le vittime di intelligence value: le trova per filtrazione progressiva partendo da una massa di router compromessi [web:11].
Fase 1 – Ricognizione opportunistica:
APT28 scansiona Internet alla ricerca di router SOHO esposti con vulnerabilità note. La selezione è volutamente indiscriminata: più router si compromettono, più è grande il "bacino" di traffico DNS da analizzare [web:11].
Fase 2 – Exploitation del router (CVE-2023-50224):
Il vettore principale documentato è CVE-2023-50224 (CVSS 6.5) sui router TP-Link WR841N [web:4]. La vulnerabilità è un authentication bypass che permette a un attaccante non autenticato di estrarre le credenziali del router tramite una HTTP GET request appositamente costruita:
GET /cgi-bin/[endpoint_specifico]?[parametri_crafted] HTTP/1.1
Host: [ip_router]
Con le credenziali in mano, una seconda GET request modifica i parametri DHCP/DNS del router:
- DNS primario → IP sotto controllo APT28
- DNS secondario → IP del DNS legittimo originale (per non destare sospetti)
In alcuni casi entrambi i DNS erano stati impostati su indirizzi malevoli, segno che il router era stato compromesso più volte da operatori diversi [web:1].
Fase 3 – Propagazione DHCP ai client downstream:
Una volta alterati i DNS del router, tutti i dispositivi della rete (laptop, smartphone, tablet) che ottengono configurazione via DHCP ereditano automaticamente i DNS malevoli. Zero interazione richiesta all'utente finale [web:4].
Fase 4 – DNS Selective Hijacking:
I server DNS malevoli — VPS configurati con dnsmasq 2.85 — operano con logica selettiva:
- Richieste DNS per target di interesse (es.
outlook.office365.com,imap-mail.outlook.com,autodiscover-s.outlook.com) → risolte con IP APT28 (AitM node) - Tutto il resto del traffico DNS → inoltrato regolarmente ai resolver legittimi
Questo comportamento selettivo riduce drasticamente il rumore anomalo sulla rete, rendendo l'attacco quasi invisibile a un'analisi superficiale del traffico [web:1][web:2].
Fase 5 – AitM e Credential Harvesting:
Il nodo AitM intercetta le connessioni TLS verso i servizi email/cloud spoofati. APT28 ruba [web:4]:
- Password in chiaro (se la vittima non ha HSTS attivo o usa app non certificate-pinning)
- OAuth token e refresh token
- Cookie di sessione autenticati
Questa è la prima volta documentata in cui APT28 usa il DNS hijacking su scala per attaccare connessioni TLS dopo la compromissione di edge device [web:4].
I Due Cluster di Infrastruttura
Il NCSC ha identificato due distinti pattern di infrastruttura malevola [web:1:
| Cluster 1 | Cluster 2 | |
|---|---|---|
| Funzione | DNS hijacking diretto + AitM | DNS forwarding verso server remoti + operazioni interattive |
| Router target | TP-Link (SOHO globali) | MikroTik + TP-Link (focus Ucraina) |
| Banner SSH | TCP/56777 | TCP/35681 |
| Servizio DNS | dnsmasq-2.85 UDP/53 |
dnsmasq-2.85 UDP/53 (solo alcuni) |
| Obiettivo primario | Credential harvesting massivo | Targeting intelligence su obiettivi HVT specifici |
Il Cluster 2 mostra un focus particolare su router MikroTik locati in Ucraina, con operazioni interattive che suggeriscono targeting ad alto valore intelligence (HVT) [web:1][web:4].
Router TP-Link Colpiti
La lista dei modelli TP-Link documentati nell'advisory include 23 modelli, tra cui [web:1:
- WR841N / WR841ND / WR841HP
- WR840N, WR842N, WR842ND, WR845N, WR941ND, WR945N
- WR1043ND, WR1045ND
- Archer C5, Archer C7
- WDR3500, WDR3600, WDR4300
- MR3420, MR6400 (router LTE)
- WA801ND, WA901ND (access point)
⚠️ Nota bene per i sysadmin italiani: molti di questi modelli sono ancora in uso in reti SOHO e piccole PMI. Se li avete in produzione e non aggiornati, siete potenzialmente nel target.
Domìni Target per il Redirect AitM
I domini identificati come obiettivi primari di redirezione [web:1:
| Dominio |
|---|
| autodiscover-s.outlook[.]com |
| imap-mail.outlook[.]com |
| outlook.live[.]com |
| outlook.office[.]com |
| outlook.office365[.]com |
L'advisory precisa che sono stati rilevati redirect anche verso domini non-Outlook, relativi ad altri fornitori di servizi email e cloud, non divulgati nel documento pubblico [web:1].
MITRE ATT&CK Mapping
Le tecniche documentate coprono l'intera catena di Resource Development → Initial Access → Credential Access [web:1:
| Tattica | ID | Tecnica |
|---|---|---|
| Resource Development | T1583.002 | Acquire Infrastructure: DNS Server |
| Resource Development | T1583.003 | Acquire Infrastructure: VPS |
| Resource Development | T1584.008 | Compromise Infrastructure: Network Devices |
| Resource Development | T1588.006 | Obtain Capabilities: Vulnerabilities |
| Initial Access | T1190 | Exploit Public-Facing Application |
| Credential Access | T1557 | Adversary-in-the-Middle |
| Resource Development | T1586 | Compromise Accounts |
Indicatori di Compromissione (IoC)
VPS banner rilevabili:
- SSH su TCP/56777 + dnsmasq-2.85 su UDP/53 (Cluster 1)
- SSH su TCP/35681 + dnsmasq-2.85 su UDP/53 (Cluster 2)
Range IP malevoli documentati (parziale):
5.226.137[.]151-245, 37.221.64[.]77-254, 77.83.197[.]37-59, 79.141.160-173[.]x, 185.117.88-89[.]x, 185.237.166[.]55-249 [web:1]
Nota: Le parentesi quadre nei range IP seguono la defanging convention standard per IoC — rimuoverle prima di usarle in strumenti di threat intelligence.
Risposta Istituzionale: Operation Masquerade
Il Dipartimento di Giustizia USA ha condotto un'operazione court-authorized per smantellare la porzione statunitense della rete, in coordinamento con FBI, NSA e 20 agenzie partner internazionali [web:4][web:10]. L'infrastruttura è stata parzialmente disabilitata, ma — come sempre in questi scenari — APT28 ha la capacità di ricostruire l'infrastruttura rapidamente.
Mitigazioni: Cosa Fare Adesso
Le contromisure indicate dall'NCSC sono concrete e immediatamente applicabili [web:1][web:8:
- Aggiornare immediatamente il firmware di tutti i router TP-Link e MikroTik in produzione — CVE-2023-50224 ha patch disponibile
- Non esporre mai l'interfaccia di gestione del router su Internet — usare browse-down architecture
- Verificare periodicamente le impostazioni DNS/DHCP del router confrontandole con i valori attesi del proprio ISP
- Abilitare MFA/2FA su tutti gli account M365 e servizi cloud — anche se le credenziali vengono rubate, l'OAuth token da solo non basta se MFA è configurato correttamente
- Implementare DNS-over-HTTPS (DoH) o DNS-over-TLS (DoT) sui client, bypassando il resolver DHCP del router
- Monitorare il traffico DNS con soluzioni come NextDNS, Pi-hole + log analysis, o soluzioni SIEM per anomalie nei pattern di risoluzione
- Deploy HIDS sugli endpoint per rilevare comportamenti anomali post-compromissione
💡 Pro tip per chi usa NextDNS (come spesso nei setup avanzati): NextDNS con DoH hardcoded nei client bypassa completamente il DNS iniettato via DHCP dal router compromesso — è una difesa passiva molto efficace contro questo specifico vettore.
L'advisory NCSC rappresenta uno dei casi tecnici più ben documentati di supply chain DNS attack su scala nazionale-statale [web:2]. La lezione è brutalmente chiara: il router di casa o del piccolo ufficio, spesso ignorato per anni senza aggiornamenti, è diventato il punto d'ingresso preferito degli attori APT di livello GRU. Se non lo gestisci tu, lo gestisce qualcun altro.
NCSC_APT28-exploit-routers-to-enable-DNS-hijacking-operations.pdf https://share.google/b9hmwEyykCZQtgEJH
Analisi effettuata tramite AI Nemotron 3 Super
