Por Canuto Una nueva alerta del Reino Unido asegura que APT28, grupo vinculado a la inteligencia militar rusa, ha estado explotando routers vulnerables para secuestrar el tráfico DNS, interceptar conexiones y robar credenciales de correo y servicios web. La campaña combina fallas públicas, servidores VPS maliciosos y ataques adversario en el medio con un enfoque oportunista que luego se afina sobre blancos de mayor valor.
***
- El NCSC atribuye la actividad a APT28, asociado casi con certeza con la Unidad Militar 26165 del GRU ruso.
- Los atacantes alteran la configuración DHCP/DNS de routers comprometidos para redirigir tráfico hacia servidores bajo su control.
- La agencia británica pidió reforzar interfaces de gestión, actualizar dispositivos y activar MFA para reducir el riesgo.
El Reino Unido encendió las alarmas sobre una campaña de ciberespionaje que aprovecha routers vulnerables para secuestrar tráfico de internet y robar credenciales.
La advertencia fue publicada este martes 7 de abril por el National Cyber Security Centre (NCSC), organismo que forma parte de GCHQ, —la agencia de inteligencia, seguridad y ciberseguridad de Reino Unido—, y apunta directamente a APT28, un actor estatal ruso conocido también como Fancy Bear, Forest Blizzard, STRONTIUM, the Sednit Gang y Sofacy.
Según el aviso, el grupo ha explotado routers expuestos para sobrescribir la configuración de DHCP y DNS. Con ello logra redirigir consultas de dominio a servidores maliciosos, una maniobra que abre la puerta a ataques adversario en el medio, o AitM, capaces de capturar contraseñas, tokens OAuth y otras credenciales utilizadas en servicios web y de correo electrónico.
El caso es relevante porque no se limita a una infección tradicional de computadoras. Aquí el punto de apoyo son dispositivos perimetrales muy comunes, presentes en pequeñas oficinas, hogares y otras redes con defensas limitadas. Cuando el DNS queda bajo control del atacante, el usuario puede creer que visita un servicio legítimo mientras, en realidad, su tráfico es desviado hacia infraestructura del agresor.
El NCSC evaluó que la actividad de APT28 tiene un carácter oportunista en las primeras fases. En términos simples, el grupo lanza una red amplia sobre muchas víctimas potenciales, obtiene visibilidad de usuarios y accesos, y luego reduce el foco hasta quedarse con objetivos que puedan tener valor de inteligencia.
Cómo funciona el secuestro de DNS en esta campaña
Para lectores menos familiarizados con el tema, el Sistema de Nombres de Dominio, o DNS, es el mecanismo que traduce direcciones legibles como un sitio web en direcciones IP. Si un atacante manipula ese proceso, puede enviar de forma encubierta a la víctima hacia servidores fraudulentos sin necesidad de cambiar lo que la persona escribe en su navegador o aplicación.
De acuerdo con la alerta, APT28 ha estado configurando servidores privados virtuales, o VPS, desde 2024 y hasta 2026 para operar como servidores DNS maliciosos. Esos VPS reciben altos volúmenes de consultas originadas en routers previamente comprometidos, probablemente mediante vulnerabilidades públicas. Luego, ciertas búsquedas vinculadas con aplicaciones de correo o páginas de inicio de sesión son resueltas hacia direcciones IP controladas por el actor.
Cuando la consulta no coincide con los criterios de interés, el sistema responde con la dirección legítima del servicio solicitado. Ese detalle vuelve la operación más difícil de detectar, porque no todas las resoluciones parecen anómalas. El atacante filtra el tráfico que le interesa y mantiene el resto con apariencia normal.
Una vez producido el desvío, el grupo intenta ejecutar ataques AitM contra las conexiones posteriores. La maniobra puede afectar tanto sesiones en navegador como aplicaciones de escritorio. El objetivo probable es recolectar material de autenticación, incluidas contraseñas y tokens de acceso, que luego podrían reutilizarse desde otra infraestructura no listada en la advertencia.
Routers TP-Link y MikroTik entre los equipos afectados
El primer grupo de actividad descrito por la agencia británica se centró en routers de pequeñas oficinas y oficinas en casa, especialmente modelos TP-Link. En estos casos, la configuración del servidor DNS de DHCP fue modificada para incluir direcciones IP bajo control del actor. Los dispositivos conectados a esos routers, como laptops y teléfonos, heredaban esa configuración y quedaban expuestos al desvío malicioso.
Uno de los modelos identificados fue el TP-Link WR841N, probablemente explotado a través de la vulnerabilidad CVE-2023-50224. Esa falla permite que un atacante no autenticado obtenga información sensible, incluidas credenciales de contraseña, mediante solicitudes HTTP GET especialmente diseñadas. Tras conseguir acceso, el actor podía enviar otra solicitud para alterar la configuración DNS del router.
En muchos casos, la solicitud establecía un servidor DNS primario malicioso y dejaba como secundario la dirección legítima que antes actuaba como principal. En otras ocasiones, tanto el DNS primario como el secundario apuntaban a direcciones controladas por el atacante, lo que sugiere que algunos equipos fueron explotados más de una vez.
La lista de modelos TP-Link señalados es extensa e incluye, entre otros, MR6400, Archer C5, Archer C7, WDR3600, WDR4300, WDR3500, WR740N, WR741ND, WR749N, MR3420, WA801ND, WA901ND, WR1043ND, WR1045ND, WR840N, WR841HP, WR841N, WR842N, WR842ND, WR845N, WR941ND y WR945N. El propio aviso aclara que el inventario probablemente no es exhaustivo.
El segundo grupo de actividad involucró solicitudes DNS recibidas a través de dispositivos probablemente comprometidos, entre ellos routers MikroTik y TP-Link. En esta variante, las solicitudes eran reenviadas a otros servidores remotos también controlados por el actor. Además, esa infraestructura participó en operaciones interactivas contra un pequeño número de routers MikroTik, muchas veces ubicados en Ucrania, que probablemente tenían valor de inteligencia.
A qué servicios apuntó APT28
Entre los dominios identificados como objetivo de redirección figuran varios asociados con Outlook y Microsoft. El aviso menciona autodiscover-s.outlook[.]com, imap-mail.outlook[.]com, outlook.live[.]com, outlook.office[.]com y outlook.office365[.]com. También se observaron otros dominios no relacionados con Outlook, aunque no se detallaron en ese apartado.
Ese patrón sugiere un interés fuerte en credenciales de correo y accesos corporativos. En contextos empresariales y gubernamentales, una sola cuenta comprometida puede abrir la puerta a información sensible, cadenas de correo, restablecimientos de contraseña y movimientos posteriores dentro de la red de una organización.
La atribución también añade peso geopolítico al caso. El NCSC indicó que evalúa casi con total certeza que APT28 corresponde al 85th Main Special Service Centre, o GTsSS, Unidad Militar 26165, de la Dirección Principal de Inteligencia del Estado Mayor General ruso, el GRU. Reino Unido ya había atribuido a este grupo los ciberataques de 2015 contra el parlamento alemán y un intento de ataque contra la Organización para la Prohibición de las Armas Químicas en abril de 2018.
En un comunicado relacionado, Paul Chichester, director de Operaciones del NCSC, afirmó que esta actividad demuestra cómo las vulnerabilidades explotadas en dispositivos de red ampliamente utilizados pueden ser aprovechadas por actores hostiles sofisticados. También recomendó que organizaciones y defensores de red se familiaricen con las técnicas descritas y apliquen las mitigaciones sugeridas.
Infraestructura, tácticas y señales de alerta
La advertencia técnica incluye dos patrones de banner observados en los VPS usados por APT28. Uno mostraba SSH en el puerto TCP 56777 y dnsmasq-2.85 en el puerto UDP 53. El segundo exponía SSH en el puerto TCP 35681 y, en algunos servidores, el mismo software DNS en el puerto UDP 53. La agencia remarcó que los selectores concretos pueden cambiar, por lo que recomienda enfoques de detección más amplios.
También publicó una larga lista de direcciones IP vinculadas a los dos grupos de infraestructura maliciosa. Esos indicadores son útiles para tareas de monitoreo y respuesta, aunque el mensaje central del aviso es que basarse solo en listas estáticas no basta. Si el actor ya demostró capacidad para adaptar VPS y rotar infraestructura, la defensa debe incorporar visibilidad continua sobre cambios DNS y comportamientos anómalos en routers.
En el marco MITRE ATT&CK, la actividad fue asociada con varias técnicas. Entre ellas figuran T1190 para explotación de aplicaciones expuestas a internet, T1557 para adversario en el medio, T1583.002 para adquisición de infraestructura tipo servidor DNS, T1583.003 para VPS, T1584.008 para compromiso de dispositivos de red, T1586 para compromiso de cuentas y T1588.006 para obtención de vulnerabilidades públicas.
En paralelo, Infosecurity Magazine destacó que Microsoft Threat Intelligence rastreó actividad relacionada y afirmó que APT28 y su subgrupo Storm-2754 comenzaron a comprometer servidores VPS para explotar routers SOHO al menos desde agosto de 2025. Ese dato ayuda a dimensionar que no se trata de un episodio aislado, sino de una operación sostenida en el tiempo.
Qué recomienda el Reino Unido para reducir el riesgo
Las medidas de mitigación difundidas por la agencia británica apuntan primero a la superficie de administración. La recomendación es que las interfaces de gestión nunca estén expuestas a internet y que, cuando sea posible, se use una arquitectura browse-down para reducir la probabilidad de que un atacante consiga acceso privilegiado a activos críticos.
Otro punto central es el mantenimiento. El NCSC pidió usar versiones compatibles recientes, aplicar con rapidez parches de seguridad, mantener actualizados sistemas operativos y aplicaciones de productividad, y reforzar la protección con antivirus y análisis periódicos. Para organizaciones con Office 365, señaló la conveniencia de usar click to run para conservar sus aplicaciones al día.
La lista también incluye monitoreo de seguridad, listas de aplicaciones permitidas, despliegue de sistemas de detección de intrusiones basados en host y, de forma muy destacada, autenticación multifactor, verificación en dos pasos o 2FA. Aunque MFA no elimina el problema de raíz, sí puede reducir el impacto cuando una contraseña es capturada.
Por último, la agencia insistió en el factor humano. Recomendó tratar a las personas como primera línea de defensa, facilitar el reporte de actividad sospechosa e investigar esos avisos con rapidez. También subrayó que los usuarios no deben ser castigados por caer en un enlace de phishing o abrir un archivo adjunto, ya que una cultura de reporte temprano es clave para contener incidentes.
Para empresas, gobiernos y operadores de infraestructura, la lección es clara. Los routers ya no son simples cajas de conectividad, sino objetivos estratégicos dentro de campañas de espionaje y robo de credenciales. En un entorno donde una manipulación silenciosa del DNS puede comprometer correos, accesos corporativos y tokens de autenticación, mantener visibilidad sobre estos equipos se vuelve tan importante como proteger servidores y endpoints.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Cloudflare y GoDaddy se alían para dar control a sitios web frente a bots IA
Empresas
Intel se uniría al proyecto TeraFab de Musk para mega chips de IA en 2026
Bitcoin
Nobel de Física advierte que Bitcoin podría ser un blanco temprano de la computación cuántica
Estados Unidos