Uma operação internacional coordenada por autoridades de segurança e empresas privadas desmantelou a campanha FrostArmada, vinculada ao grupo de ameaças persistentes avançadas (APT) APT28, também conhecido como Fancy Bear. Este grupo, associado ao GRU da Rússia, comprometeu principalmente roteadores MikroTik e TP-Link, alterando suas configurações de DNS para redirecionar o tráfego de autenticação de contas da Microsoft. No auge da campanha, em dezembro de 2025, cerca de 18.000 dispositivos em 120 países foram infectados, com alvos como agências governamentais e provedores de serviços de TI. A operação contou com a colaboração da Microsoft, Black Lotus Labs e apoio do FBI e do Departamento de Justiça dos EUA. Os atacantes exploraram vulnerabilidades em roteadores expostos à internet, redirecionando tráfego para servidores maliciosos, onde coletaram credenciais de login e tokens OAuth. A Microsoft e o NCSC do Reino Unido alertaram sobre a natureza oportunista dos ataques, que afetaram tanto sessões de navegador quanto aplicativos de desktop. A operação resultou na desativação da infraestrutura maliciosa, mas destaca a necessidade de medidas de segurança robustas, como o uso de pinagem de certificados e a atualização de equipamentos obsoletos.
Fonte: https://www.bleepingcomputer.com/news/security/authorities-disrupt-dns-hijacks-used-to-steal-microsoft-365-logins/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
07/04/2026 • Risco: ALTO
ATAQUE
Operação internacional desmantela campanha FrostArmada da APT28
RESUMO EXECUTIVO
A operação contra FrostArmada destaca a vulnerabilidade de dispositivos de rede e a necessidade de medidas de segurança robustas. O ataque, que comprometeu 18.000 dispositivos, é um alerta para a proteção de credenciais e a segurança de dados, especialmente em um contexto de crescente atividade cibernética maliciosa.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e interrupções de serviços.
Operacional
Roubo de credenciais de contas Microsoft e dados de autenticação.
Setores vulneráveis
['Governo', 'Tecnologia da Informação', 'Serviços de hospedagem']
📊 INDICADORES CHAVE
18.000 dispositivos comprometidos.
Indicador
120 países afetados.
Contexto BR
Alvos incluem agências governamentais e provedores de TI.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a configuração de DNS de roteadores e dispositivos de rede.
2
Implementar pinagem de certificados e atualizar equipamentos obsoletos.
3
Monitorar continuamente tráfego de rede e alertas de segurança relacionados a DNS.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dispositivos de rede e a proteção de credenciais, especialmente em um cenário onde ataques direcionados estão em ascensão.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
