APT28綁架路由器從事DNS挾持，目的是AiTM網釣與情報收集

NCSC指出，他們掌握APT28從2024年開始，就將虛擬專屬伺服器（VPS）設置為惡意DNS伺服器的情況，這些VPS主機通常會接收大量來自路由器的DNS請求。

其中第一種活動裡，APT28入侵SOHO路由器，竄改DHCP與DNS的組態設定，加入駭客控制的IP位址，使得相關的組態被下游的電腦與行動裝置繼承。惡意DNS伺服器會查調含有特定服務相關的網域名稱，這些服務大部分是電子郵件系統的登入網頁，若是攻擊者鎖定的目標，他們就會被導向駭客的IP位址，從事對手中間人攻擊。

駭客滲透的路由器設備，廠牌大部分是TP-Link，NCSC確認至少有23款成為APT28下手的目標。其中一款型號為WR841N的設備，攻擊者疑似利用已知漏洞CVE-2023-50224，而能在未經身分驗證的情況下，透過特製的HTTP GET請求得到密碼與憑證資訊。

一旦成功取得路由器的憑證，APT28就會發送第二個HTTP GET請求，竄改路由器的DHCP與DNS設定。通常駭客會竄改主要DNS伺服器的IP位址，但也有次要DNS伺服器設定被更換的情況，代表有些路由器可能遭到多次攻擊。

另一種活動當中的VPS主機，則同時會收到TP-Link與MikroTik路由器的DNS請求，但不同的是，這些請求會轉送給攻擊者其他的遠端伺服器。NCSC提及其中占少數的MikroTik路由器，主要位於烏克蘭，因此他們推測，這些設備對APT28具有情報價值。