NARCO OBSERVATORIO
🛡 THREAT INTELLIGENCE 🛡

Rusia hackeó enrutadores para robar tokens de Microsoft Office

🛡CyberObservatorio
Rusia hackeó enrutadores para robar tokens de Microsoft Office
Idioma
◢ THREAT INTELLIGENCE ◣

Rusia hackeó enrutadores para robar tokens de Microsoft Office

⟫ 07/04/2026 ⟫ BrianKrebs
Fuente: Krebs on Security
Rusia hackeó enrutadores para robar tokens de Microsoft Office

**Introducción Contextual**

Recientemente, se ha revelado una preocupante campaña de espionaje vinculada a hackers asociados con las unidades de inteligencia militar de Rusia, quienes han explotado vulnerabilidades conocidas en enrutadores de Internet obsoletos para robar masivamente tokens de autenticación de usuarios de Microsoft Office. Esta situación es de gran relevancia en un contexto donde la ciberseguridad es crucial para la protección de datos sensibles, tanto a nivel personal como empresarial. La intrusión ha afectado a más de 18,000 redes, lo que pone de manifiesto el riesgo que enfrentan las organizaciones y los individuos ante este tipo de ataques, que se desarrollan sin necesidad de la instalación de software malicioso.

**Detalles Técnicos**

Imagen del articulo

Según un informe de Black Lotus Labs, una división de seguridad del proveedor de infraestructura de Internet Lumen, la campaña de espionaje fue llevada a cabo por un actor conocido como “Forest Blizzard”, también identificado como APT28 o Fancy Bear. Este grupo ha sido atribuido a la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU). En el pico de su actividad, en diciembre de 2025, los hackers lograron comprometer más de 18,000 enrutadores de Internet, muchos de los cuales eran dispositivos de marcas como Mikrotik y TP-Link, dirigidos al mercado de pequeñas oficinas y hogares (SOHO).

Los atacantes no instalaron malware en los enrutadores, sino que aprovecharon vulnerabilidades conocidas para modificar la configuración del Sistema de Nombres de Dominio (DNS) de los dispositivos. Este tipo de ataque, conocido como “DNS hijacking”, permite a los atacantes redirigir las solicitudes DNS a servidores controlados por ellos, lo que a su vez les facilita interceptar tokens de autenticación de usuarios que acceden a servicios como Microsoft Office.

La técnica utilizada permite que, tras una autenticación exitosa y a través de un proceso de autenticación multifactor, los atacantes obtengan acceso directo a las cuentas de las víctimas sin necesidad de phishing. Los tokens de autenticación, que son cruciales para el acceso a servicios seguros, se transmiten de forma que los atacantes pueden capturarlos simplemente redirigiendo el tráfico de red.

**Datos Factuales**

Microsoft, en un comunicado oficial, ha indicado que más de 200 organizaciones y 5,000 dispositivos de consumo se vieron afectados por esta operación de espionaje. Los ataques se dirigieron principalmente a agencias gubernamentales, incluidos ministerios de relaciones exteriores y proveedores de correo electrónico de terceros. La compañía ha calificado la actividad de Forest Blizzard como un uso de “DNS hijacking para apoyar ataques de adversarios en el medio (AiTM) sobre conexiones de Seguridad de Capa de Transporte (TLS) contra dominios de Microsoft Outlook en la web”.

El ingeniero de seguridad de Black Lotus Labs, Ryan English, ha subrayado que este enfoque de los hackers es más antiguo y, aunque no parece sofisticado, resulta efectivo. Este tipo de ataques no es nuevo, pero es notable que esta sea la primera vez que se observa a Forest Blizzard utilizando el “DNS hijacking” a gran escala para facilitar ataques a conexiones TLS después de comprometer dispositivos de borde.

**Impacto y Consecuencias**

La magnitud de este ataque tiene implicaciones significativas para la seguridad cibernética a nivel global. La intrusión ha expuesto a miles de usuarios y organizaciones a riesgos de robo de información sensible, lo que podría resultar en pérdidas financieras considerables y daños a la reputación de las entidades afectadas. Además, el hecho de que los enrutadores comprometidos fueran principalmente dispositivos obsoletos resalta la necesidad urgente de que las organizaciones mantengan sus infraestructuras de red actualizadas y seguras.

La advertencia de la Comisión Federal de Comunicaciones (FCC) de EE. UU. sobre los riesgos de seguridad nacional asociados a los enrutadores fabricados en el extranjero se vuelve aún más pertinente en este contexto. La FCC ha declarado que los enrutadores mal asegurados representan un riesgo grave que podría ser aprovechado para interrumpir la infraestructura crítica de EE. UU. y poner en peligro a sus ciudadanos.

**Contexto Histórico**

La historia reciente está llena de incidentes en los que grupos de hackers respaldados por estados han utilizado tácticas similares para comprometer redes y sistemas. Por ejemplo, APT28 ha estado involucrado en actividades de espionaje cibernético desde hace años, incluyendo la intrusión en las campañas políticas estadounidenses en 2016. La evolución de sus técnicas, como la transición de malware a ataques de reconfiguración de DNS, indica una adaptabilidad que podría complicar aún más la defensa contra estas amenazas.

**Recomendaciones**

Ante este panorama, es crucial que las organizaciones adopten medidas proactivas para proteger sus redes. Se recomienda encarecidamente la actualización de los dispositivos de red a versiones más recientes que cuenten con soporte y parches de seguridad, así como la implementación de soluciones robustas de ciberseguridad que incluyan la supervisión constante del tráfico DNS. Además, la educación y concienciación del personal sobre las tácticas de phishing y otros vectores de ataque son esenciales para reducir el riesgo de que se vean comprometidos.

La ciberseguridad es un campo en constante evolución, y las organizaciones deben estar preparadas para adaptarse a las nuevas amenazas que surgen en el panorama digital. La vigilancia y la actualización continua son no solo recomendables, sino necesarias para salvaguardar la integridad de la información y la seguridad de los usuarios.

◢ THREAT INTELLIGENCE ◣

Russia Hacked Routers to Steal Microsoft Office Tokens

⟫ 07/04/2026 ⟫ BrianKrebs
Source: Krebs on Security
Rusia hackeó enrutadores para robar tokens de Microsoft Office

Hackers linked to Russia’s military intelligence units are using known flaws in older Internet routers to mass harvest authentication tokens fromMicrosoft Officeusers, security experts warned today. The spying campaign allowed state-backed Russian hackers to quietly siphon authentication tokens from users on more than 18,000 networks without deploying any malicious software or code. Microsoft said ina blog posttoday it identified more than 200 organizations and 5,000 consumer devices that were caught up in a stealthy but remarkably simple spying network built by a Russia-backed threat actor known as “Forest Blizzard.” How targeted DNS requests were redirected at the router. Image: Black Lotus Labs. Also known asAPT28and Fancy Bear, Forest Blizzard is attributed to the military intelligence units within Russia’s General Staff Main Intelligence Directorate (GRU). APT 28 famously compromised the Hillary Clinton campaign, the Democratic National Committee, and the Democratic Congressional Campaign Committee in 2016 in an attempt to interfere with the U.S. presidential election. Researchers atBlack Lotus Labs, a security division of the Internet backbone providerLumen, found that at the peak of its activity in December 2025, Forest Blizzard’s surveillance dragnet ensnared more than 18,000 Internet routers that were mostly unsupported, end-of-life routers, or else far behind on security updates. Anew reportfrom Lumen says the hackers primarily targeted government agencies—including ministries of foreign affairs, law enforcement, and third-party email providers. Black Lotus Security EngineerRyan Englishsaid the GRU hackers did not need to install malware on the targeted routers, which were mainly olderMikrotikandTP-Linkdevices marketed to the Small Office/Home Office (SOHO) market. Instead, they used known vulnerabilities to modify the Domain Name System (DNS) settings of the routers to include DNS servers controlled by the hackers. As the U.K.’sNational Cyber Security Centre(NCSC) notes ina new advisorydetailing how Russian cyber actors have been compromising routers, DNS is what allows individuals to reach websites by typing familiar addresses, instead of associated IP addresses. In a DNS hijacking attack, bad actors interfere with this process to covertly send users to malicious websites designed to steal login details or other sensitive information. English said the routers attacked by Forest Blizzard were reconfigured to use DNS servers that pointed to a handful of virtual private servers controlled by the attackers. Importantly, the attackers could then propagate their malicious DNS settings to all users on the local network, and from that point forward intercept anyOAuth authentication tokenstransmitted by those users. DNS hijacking through router compromise. Image: Microsoft. Because those tokens are typically transmitted onlyafterthe user has successfully logged in and gone through multi-factor authentication, the attackers could gain direct access to victim accounts without ever having to phish each user’s credentials and/or one-time codes. “Everyone is looking for some sophisticated malware to drop something on your mobile devices or something,” English said. “These guys didn’t use malware. They did this in an old-school, graybeard way that isn’t really sexy but it gets the job done.” Microsoft refers to the Forest Blizzard activity as using DNS hijacking “to support post-compromise adversary-in-the-middle (AiTM) attacks on Transport Layer Security (TLS) connections against Microsoft Outlook on the web domains.” The software giant said while targeting SOHO devices isn’t a new tactic, this is the first time Microsoft has seen Forest Blizzard using “DNS hijacking at scale to support AiTM of TLS connections after exploiting edge devices.” Black Lotus Labs engineerDanny Adamitissaid it will be interesting to see how Forest Blizzard reacts to today’s flurry of attention to their espionage operation, noting that the group immediately switched up its tactics in response toa similar NCSC report(PDF) in August 2025. At the time, Forest Blizzard was using malware to control a far more targeted and smaller group of compromised routers. But Adamitis said the day after the NCSC report, the group quickly ditched the malware approach in favor of mass-altering the DNS settings on thousands of vulnerable routers. “Before the last NCSC report came out they used this capability in very limited instances,” Adamitis told KrebsOnSecurity. “After the report was released they implemented the capability in a more systemic fashion and used it to target everything that was vulnerable.” TP-Link was among the router makers facing a complete ban in the United States. But on March 23, theU.S. Federal Communications Commission (FCC) took a much broader approach,announcingit would no longer certify consumer-grade Internet routers that are produced outside of the United States. The FCC warned that foreign-made routers had become an untenable national security threat, and that poorly-secured routers present “a severe cybersecurity risk that could be leveraged to immediately and severely disrupt U.S. critical infrastructure and directly harm U.S. persons.” Experts have countered that few new consumer-grade routers would be available for purchase under this new FCC policy (besides maybe Musk’s Starlink satellite Internet routers, which are produced in Texas). The FCC says router makers can apply for a special “conditional approval” from the Department of War or Department of Homeland Security, and that the new policy does not affect any previously-purchased consumer-grade routers.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD
Rusia hackeó enrutadores para robar tokens de Microsoft Office | Ciberseguridad - NarcoObservatorio