Theo các nhà chức trách Mỹ, các cuộc tấn công này có liên quan đến nhóm tin tặc APT28, Forest Blizzard và Fancy Bear. Các tác nhân đe dọa đã nhắm mục tiêu vào router TP-Link và MikroTik dễ bị tấn công, thay đổi cài đặt DHCP và DNS của chúng để lưu lượng truy cập từ các thiết bị được kết nối với các router này sẽ đi qua cơ sở hạ tầng của kẻ tấn công.
Bằng cách thực hiện cuộc tấn công adversary-in-the-middle (AitM), các tin tặc đã thu thập được lưu lượng truy cập mà nạn nhân cho rằng được mã hóa, từ đó đánh cắp mật khẩu, token xác thực, email và dữ liệu duyệt web. Tuy nhiên, cuộc tấn công AitM chỉ hoạt động nếu người dùng bỏ qua các cảnh báo về chứng chỉ TLS không hợp lệ, do việc sử dụng cơ sở hạ tầng của kẻ tấn công kiểm soát gây ra.
Theo FBI, tin tặc lợi dụng một lỗ hổng bảo mật đã biết với mã định danh CVE-2023-50224, nhằm chiếm quyền kiểm soát các thiết bị router TP-Link. “Các tác nhân đe dọa của Nga đã xâm nhập vào một lượng lớn nạn nhân ở Mỹ và trên toàn thế giới, sau đó lọc thông tin của những người dùng bị ảnh hưởng, đặc biệt nhắm vào lĩnh vực quân sự, chính phủ và cơ sở hạ tầng trọng yếu”, FBI cho biết.
Microsoft cho rằng cuộc tấn công này do Forest Blizzard và một nhánh nhỏ của chúng mà họ theo dõi với tên gọi Storm-2754 gây ra. Gã khổng lồ công nghệ này báo cáo đã xác định được hơn 200 tổ chức và 5.000 thiết bị người dùng bị ảnh hưởng bởi cuộc tấn công.
Microsoft đã chia sẻ một số chi tiết kỹ thuật về cách thức cuộc tấn công được thực hiện: Forest Blizzard xâm nhập vào các thiết bị SOHO rồi thay đổi cấu hình mạng mặc định để sử dụng các máy chủ phân giải DNS do chúng kiểm soát. Việc cấu hình lại độc hại này đã dẫn đến hàng nghìn thiết bị gửi yêu cầu DNS của chúng đến các máy chủ của tin tặc.
Forest Blizzard gần như chắc chắn đang sử dụng tiện ích dnsmasq để thực hiện phân giải DNS và cung cấp phản hồi trong khi lắng nghe các truy vấn DNS trên cổng 53. Trong hầu hết các trường hợp, các yêu cầu DNS dường như đã được chuyển tiếp một cách minh bạch thông qua cơ sở hạ tầng của kẻ tấn công, dẫn đến việc kết nối đến các điểm cuối dịch vụ hợp pháp mà không bị gián đoạn.
Tuy nhiên, trong một số ít trường hợp bị xâm nhập, kẻ tấn công giả mạo phản hồi DNS đối với các tên miền được nhắm mục tiêu cụ thể để buộc các điểm cuối bị ảnh hưởng phải kết nối với cơ sở hạ tầng do chúng kiểm soát.
Microsoft lưu ý rằng, ngoài việc thu thập thông tin, các cuộc tấn công AitM như vậy có thể được sử dụng để triển khai phần mềm độc hại hoặc thực hiện các cuộc tấn công từ chối dịch vụ (DoS).
Lumen Technologies, công ty sở hữu Black Lotus Labs, đơn vị đang theo dõi chiến dịch này dưới tên gọi FrostArmada, cho biết các cuộc tấn công nhắm vào các thiết bị router dường như bắt đầu vào tháng 8/2025, ngay sau khi Anh công bố lệnh trừng phạt đối với tin tặc Nga và mô tả một chiến dịch có tên Authentic Antics, trong đó tin tặc nhắm mục tiêu vào các tài khoản đám mây của Microsoft.
“Vào thời điểm hoạt động cao điểm tháng 12/2025, Lumen phát hiện hơn 18.000 địa chỉ IP từ ít nhất 120 quốc gia liên lạc với cơ sở hạ tầng của Forest Blizzard. Các hoạt động này chủ yếu nhắm vào các cơ quan chính phủ, bao gồm các bộ ngoại giao, cơ quan thực thi pháp luật và các nhà cung cấp dịch vụ email bên thứ ba”, Lumen cho biết. Công ty đã hỗ trợ Microsoft và các nhà chức trách tại Mỹ trong việc phá vỡ cơ sở hạ tầng được sử dụng trong chiến dịch này.
Trong một diễn biến khác, Trung tâm An ninh mạng Quốc gia Anh (NCSC) đã công bố bản tư vấn riêng cung cấp một danh sách các dấu hiệu xâm phạm (IoC), bao gồm banner VPS, router mục tiêu, tên miền, địa chỉ IP liên quan đến cơ sở hạ tầng của kẻ tấn công và bản đồ MITRE ATT&CK. NCSC cũng đã đưa ra các khuyến nghị để phòng chống các cuộc tấn công như vậy.
Đầu năm 2024, FBI thông báo triệt phá một mạng botnet nhắm vào router SOHO do cùng một nhóm tội phạm mạng của Nga sử dụng.
