Rússia sequestra roteadores antigos para roubar tokens do Microsoft Office
Especialistas em segurança cibernética revelaram uma operação de espionagem digital ligada às unidades de inteligência militar da Rússia que explorou falhas em roteadores de internet antigos para roubar, em larga escala, tokens de autenticação de usuários do Microsoft Office. A ação, silenciosa e tecnicamente simples, permitiu que os invasores acessassem contas corporativas e governamentais sem precisar instalar malware ou convencer vítimas a cair em golpes de phishing tradicionais.
De acordo com a Microsoft, mais de 200 organizações e cerca de 5.000 dispositivos de usuários finais foram afetados por essa rede de espionagem furtiva, atribuída a um grupo de ameaças avançadas patrocinado pelo Estado russo, conhecido como “Forest Blizzard”. A campanha atingiu, no auge de sua atividade em dezembro de 2025, mais de 18.000 roteadores de internet vulneráveis ao redor do mundo.
Quem é o grupo Forest Blizzard (APT28 / Fancy Bear)
O Forest Blizzard é também conhecido nos círculos de segurança como APT28 ou Fancy Bear. O grupo é associado à Diretoria Principal de Inteligência do Estado-Maior das Forças Armadas da Rússia (GRU), órgão de inteligência militar do país. Ele ganhou notoriedade internacional por ataques anteriores, como o comprometimento da campanha presidencial de Hillary Clinton, do Comitê Nacional Democrata e do Comitê de Campanha Democrata para o Congresso, em 2016, com o objetivo de influenciar o resultado das eleições nos Estados Unidos.
A nova operação revela que o grupo continua ativo, adaptando métodos e explorando pontos fracos que muitas organizações ainda negligenciam: equipamentos de rede antigos, sem suporte ou com correções de segurança atrasadas.
Como os roteadores foram usados na espionagem
A investigação conduzida pela Black Lotus Labs, divisão de segurança da Lumen, mostrou que a Forest Blizzard montou uma infraestrutura de vigilância baseada em roteadores comprometidos, em sua maioria modelos antigos da Mikrotik e da TP-Link, voltados para o mercado de pequenos escritórios e uso doméstico (SOHO).
O ponto-chave é que os hackers não precisaram instalar nenhum tipo de malware nesses dispositivos. Em vez disso, exploraram vulnerabilidades já conhecidas para alterar as configurações de DNS (Sistema de Nomes de Domínio) dos roteadores. Esse ajuste aparentemente simples foi suficiente para redirecionar o tráfego de resolução de nomes para servidores DNS controlados pelos próprios atacantes.
Ao comprometer o DNS do roteador, os cibercriminosos conseguiram impor suas configurações maliciosas a todos os usuários e dispositivos conectados à rede local. Isso significa que qualquer equipamento que usasse aquele roteador para acessar a internet estava potencialmente sob vigilância e sujeita à interceptação de dados sensíveis.
Entendendo o papel do DNS no ataque
O DNS funciona como uma “lista telefônica” da internet: é o sistema que converte endereços amigáveis, como nomes de sites, em endereços IP numéricos, que são de fato usados para encaminhar o tráfego. Quando um usuário digita o endereço de um site, o dispositivo consulta o servidor DNS configurado no roteador para descobrir para onde deve ir.
No chamado sequestro de DNS (DNS hijacking), o invasor interfere nesse processo, alterando o servidor DNS para um sob seu controle. Assim, ele pode direcionar o usuário a servidores maliciosos, mesmo que, na barra do navegador, tudo pareça normal. Essa técnica é usada há anos para redirecionar vítimas a páginas falsas de bancos, webmails e portais de login com o objetivo de roubar senhas e outros dados de autenticação.
No caso da Forest Blizzard, porém, o foco principal não foi capturar credenciais diretamente, mas algo ainda mais valioso: tokens de autenticação OAuth.
O que os invasores realmente estavam roubando: tokens OAuth
Os roteadores comprometidos foram configurados para apontar para servidores DNS que redirecionavam parte do tráfego a um conjunto de servidores privados virtuais (VPS) sob controle dos atacantes. A partir disso, os hackers puderam posicionar sua infraestrutura entre os usuários e os serviços legítimos da Microsoft, em ataques do tipo adversário-no-meio (AiTM).
O alvo eram os tokens de autenticação OAuth, usados por serviços como o Microsoft Office para manter o usuário logado após a autenticação bem-sucedida, inclusive depois da verificação em múltiplos fatores (MFA). Esses tokens funcionam como “chaves temporárias” que comprovam que o usuário já passou por todo o processo de login e podem ser reutilizados para acessar a conta sem exigir senha ou código adicional.
Ao interceptar esses tokens durante o tráfego entre o usuário e os servidores da Microsoft, os hackers conseguiam assumir a sessão autenticada da vítima. Em outras palavras, podiam entrar na conta do usuário, com todos os privilégios existentes, sem nunca ter visto a senha ou o código de autenticação de dois fatores.
Isso torna o ataque extremamente perigoso, pois contorna um dos principais mecanismos de proteção atualmente recomendados: o uso de autenticação multifator.
Simplicidade técnica, impacto elevado
Ryan English, engenheiro de segurança da Black Lotus, destacou que a operação foge da ideia comum de ataques altamente sofisticados cheios de malware complexo. Aqui, a estratégia foi deliberadamente “simples e clássica”: explorar brechas conhecidas em infraestrutura esquecida.
Segundo ele, muitos analistas passam o tempo procurando códigos maliciosos em computadores, celulares e servidores, mas ignoram que o roteador – o equipamento pelo qual todo o tráfego passa – é um alvo extremamente valioso. No caso da Forest Blizzard, os roteadores foram manipulados de forma invisível, sem necessidade de instalar um único arquivo malicioso.
Quem foi mais visado pelos hackers
O relatório da Lumen aponta que os alvos preferenciais da campanha foram órgãos e entidades de alto valor estratégico, como:
– Ministérios de relações exteriores
– Forças policiais e órgãos de segurança pública
– Provedores de e-mail terceirizados e serviços de comunicação corporativa
– Outras agências governamentais e organizações com dados sensíveis
O uso de roteadores de pequeno porte, muitas vezes instalados em escritórios regionais, filiais ou ambientes de trabalho remoto, ajudou a manter o ataque discreto. Esses dispositivos frequentemente estão fora do radar da equipe de TI central, rodam firmware desatualizado e permanecem anos sem qualquer revisão de segurança.
Por que roteadores antigos são um risco tão grande
Roteadores esquecidos representam uma porta de entrada ideal para operações de espionagem e crime cibernético por diversos motivos:
1. Fim de suporte: muitos fabricantes cessam a entrega de correções após alguns anos, deixando falhas abertas de forma permanente.
2. Atualizações negligenciadas: mesmo quando há correções, pequenos escritórios e usuários domésticos raramente aplicam atualizações de firmware.
3. Senhas fracas ou padrão de fábrica: ainda é comum encontrar roteadores com credenciais padrão “admin/admin” ou equivalentes.
4. Configurações avançadas mal compreendidas: poucos usuários entendem o impacto de opções de DNS, VPN e encaminhamento de portas, facilitando configurações inseguras.
5. Baixa visibilidade: soluções de monitoramento corporativo nem sempre enxergam ou auditaram todos os dispositivos de borda, especialmente em ambientes híbridos e home office.
Esse cenário cria um terreno fértil para campanhas como a da Forest Blizzard, que dependem mais de negligência e de falta de governança do que de supertecnologia.
Como se proteger de ataques semelhantes
Organizações e usuários podem reduzir significativamente o risco de serem vítimas de ataques de sequestro de roteador e roubo de tokens adotando medidas práticas:
– Inventariar todos os roteadores em uso, incluindo dispositivos de filiais, residências de executivos e ambientes de trabalho remoto.
– Substituir equipamentos sem suporte ou com firmware descontinuado por modelos atuais, com ciclo de atualizações garantido.
– Atualizar regularmente o firmware de roteadores e pontos de acesso, acompanhando boletins de segurança dos fabricantes.
– Alterar senhas padrão de administração, usando senhas fortes e, sempre que possível, ativando autenticação de múltiplos fatores.
– Restringir o acesso remoto ao painel de administração, limitando a redes internas ou VPNs corporativas.
– Monitorar configurações de DNS, garantindo que apenas servidores confiáveis e aprovados pela equipe de segurança sejam usados.
– Implementar segmentação de rede, evitando que dispositivos menos confiáveis compartilhem a mesma infraestrutura de roteamento que sistemas críticos.
Para empresas, é fundamental que a governança de segurança inclua explicitamente dispositivos de borda e roteadores de pequenos escritórios utilizados por funcionários remotos.
MFA não é mágica: a importância de proteger sessões e tokens
A campanha da Forest Blizzard reforça um ponto importante: a autenticação multifator é essencial, mas não resolve tudo sozinha. Quando o ataque ocorre após a autenticação – ou seja, quando o invasor consegue capturar o token gerado depois do login legítimo – o uso de MFA não impede o sequestro de sessão.
Por isso, além de exigir MFA, organizações devem:
– Adotar políticas de expiração mais rígidas para tokens de sessão.
– Implementar monitoramento de atividades suspeitas pós-login, como acessos de locais geográficos improváveis ou mudanças bruscas de comportamento.
– Utilizar soluções de proteção de identidade que detectem anomalias em sessões ativas.
– Reavaliar a exposição de serviços críticos à internet, utilizando proxies seguros e mecanismos de inspeção profunda de tráfego.
O valor estratégico de tokens do Microsoft Office
O acesso a tokens do Microsoft Office não é apenas uma questão de visualizar documentos. Em ambientes corporativos e governamentais, o pacote Office está integrado a e-mails, agendas, arquivos em nuvem, ferramentas de colaboração e, em muitos casos, a sistemas internos de negócios.
Com um token válido, um invasor pode:
– Ler e enviar e-mails como se fosse a vítima.
– Acessar documentos confidenciais armazenados em nuvem.
– Participar de reuniões virtuais e obter informações sensíveis.
– Movimentar-se lateralmente dentro de uma organização, explorando integrações com outros sistemas.
Em operações de espionagem estatal, isso significa acesso privilegiado a informações diplomáticas, planos estratégicos, comunicações internas e dados altamente sensíveis.
Lições para o futuro da segurança de infraestrutura
O caso da Forest Blizzard evidencia uma mudança de foco necessária na segurança cibernética: não basta proteger apenas endpoints e servidores; é indispensável tratar a infraestrutura de rede – especialmente roteadores de borda – como ativos críticos.
Algumas lições que se consolidam:
– Segurança não pode ignorar “o que é velho”: equipamentos legados muitas vezes são o elo mais fraco.
– Simplicidade não significa baixo risco: ataques com poucas etapas e uso de falhas conhecidas podem ser devastadores.
– Visibilidade é essencial: sem saber exatamente quais dispositivos fazem parte do ambiente, é impossível protegê-los.
– Proteção de identidade precisa ir além do login: tokens, sessões e fluxos de autenticação precisam de defesa específica.
Ao mesmo tempo, o episódio mostra como grupos de ameaças patrocinados por Estados continuam investindo em campanhas de longo prazo, com foco em espionagem estratégica e coleta silenciosa de informações, preferindo técnicas discretas e persistentes em vez de ataques barulhentos.
Conclusão
A invasão de roteadores para roubo de tokens do Microsoft Office pela Forest Blizzard demonstra que a linha de frente da cibersegurança passa, cada vez mais, pelos dispositivos de rede aparentemente “banalizados” e esquecidos. Roteadores antigos, mal gerenciados e sem atualização se tornaram a base de uma das maiores campanhas recentes de espionagem digital.
Para usuários comuns e organizações de todos os portes, a mensagem é clara: ignorar a segurança do roteador – seja em casa, no escritório ou em filiais – é deixar aberta uma porta privilegiada para que invasores entrem, contornem mecanismos como a autenticação multifator e tomem controle de contas e dados críticos. Investir na proteção da infraestrutura, revisar equipamentos legados e adotar boas práticas de configuração não é mais opcional, mas uma condição mínima para reduzir a exposição a operações de espionagem como essa.