APT28從事網釣攻擊活動FrostArmada，藉由路由器DNS組態將受害者導向AiTM基礎設施

Lumen旗下的資安實驗室Black Lotus指出，他們追蹤APT28從事名為FrostArmada的攻擊活動，駭客入侵邊緣設備並竄改DNS組態，將與身分驗證有關的流量進行重新導向。駭客這麼做的目的，就是將指定的受害者導向AiTM基礎設施，並在幾乎不需與使用者互動的情況下，收集他們的憑證與權杖。值得留意的是，在去年8月英國網路安全中心（NCSC）公布Authentic Antics攻擊調查結果後，Lumen就看到APT28快速改變戰術，改以入侵路由器與DNS重新導向的手法進行相關攻擊。

關於APT28發動FrostArmada攻擊的時間點，最早從2025年5月開始，不過當時駭客針對的目標有限。FrostArmada的攻擊活動在同年12月達到高峰，當時該公司在超過120個國家當中，偵測到逾1.8萬個IP位址與APT28的基礎設施進行通訊。這波攻擊主要針對外交部與執法部門等政府機關，但也有第三方郵件服務供應商受害。

雖然Lumen提到APT28綁架邊緣裝置，不過他們特別提及，駭客特別偏好TP-Link和MikroTik路由器，而且疑似鎖定網頁管理介面相關的已知漏洞。但除了SOHO與家用路由器，Lumen也看到APT28針對其他曝露在網際網路的設備，其中包含Fortinet等廠牌的企業級防火牆，主要是針對較舊的機種，但駭客也攻擊Nethesis等小廠的防火牆設備。

這些路由器或防火牆設備遭到滲透後，駭客竄改其DNS設定，將其與虛擬專有伺服器（VPS）節點通訊，這些VPS也扮演DNS解析器的角色。

駭客藉由入侵路由器設備，竊取內網工作站電腦的OAuth權杖，由於Lumen並未發現駭客濫用底層身分驗證協定有關的資安漏洞，他們研判是透過對手中間人攻擊達到目的。