Rússia explora falhas em roteadores antigos para roubar tokens do Microsoft Office
Especialistas em segurança cibernética revelaram que hackers ligados à inteligência militar russa conduzem, há meses, uma sofisticada operação de espionagem digital explorando roteadores de internet antigos e vulneráveis. O objetivo: interceptar e roubar, em larga escala, tokens de autenticação de usuários do Microsoft Office, sem precisar instalar qualquer malware nos dispositivos das vítimas.
De acordo com a Microsoft, mais de 200 organizações e cerca de 5.000 dispositivos de usuários domésticos já foram identificados como impactados por essa campanha. No auge da operação, em dezembro de 2025, a infraestrutura maliciosa teria alcançado mais de 18.000 roteadores de internet ao redor do mundo.
Quem está por trás da operação
A campanha é atribuída ao grupo de ameaças conhecido como “Forest Blizzard”, também identificado na indústria como APT28 ou Fancy Bear. Esse grupo é associado à Diretoria Principal de Inteligência (GRU), órgão de inteligência militar do Estado-Maior das Forças Armadas da Rússia.
O APT28 ganhou notoriedade global em 2016, quando foi apontado como responsável pelo comprometimento da campanha presidencial de Hillary Clinton, do Comitê Nacional Democrata e do Comitê de Campanha Democrata para o Congresso nos Estados Unidos, em uma tentativa de influenciar o resultado das eleições.
Agora, o mesmo grupo reaparece com uma tática considerada, ao mesmo tempo, tecnicamente simples e extremamente eficaz.
Como o ataque funciona sem instalar malware
Pesquisadores da Black Lotus Labs, divisão de segurança da empresa de infraestrutura de internet Lumen, identificaram que os atacantes miraram principalmente roteadores antigos e pouco atualizados, em sua maioria equipamentos Mikrotik e TP-Link voltados para o mercado SOHO (pequenos escritórios e escritórios domésticos).
Segundo Ryan English, engenheiro de segurança da Black Lotus, os hackers não precisaram instalar nenhum código malicioso nos roteadores comprometidos. Em vez disso, exploraram vulnerabilidades já conhecidas nesses equipamentos para alterar uma configuração crítica: os servidores de DNS utilizados pelo roteador.
Ao modificar as configurações de DNS, os criminosos passaram a direcionar as requisições a servidores sob seu controle. A partir desse ponto, todo o tráfego de resolução de nomes da rede – isto é, o processo de transformar endereços como “office.com” em endereços IP – podia ser manipulado pelos atacantes.
O papel do DNS no ataque
O DNS (Domain Name System) é frequentemente descrito como a “lista telefônica” da internet: ele traduz nomes de sites para endereços IP numéricos, permitindo que os usuários acessem serviços digitando endereços amigáveis em vez de sequências de números.
Quando ocorre um sequestro de DNS (DNS hijacking), atacantes alteram esse fluxo, fazendo com que usuários sejam encaminhados, de forma invisível, para servidores maliciosos, mesmo que o endereço digitado no navegador esteja correto. Isso pode ser usado para:
– Redirecionar para páginas falsas de login;
– Interceptar dados de autenticação;
– Monitorar ou modificar o tráfego;
– Injetar conteúdo malicioso.
No caso da campanha atribuída ao Forest Blizzard, os roteadores comprometidos foram reconfigurados para utilizar servidores DNS apontando para uma rede de servidores privados virtuais (VPS) operada pelo próprio grupo. A configuração maliciosa se propagava automaticamente para todos os dispositivos conectados àquele roteador: computadores, notebooks, celulares, tablets e até equipamentos corporativos.
O alvo principal: tokens de autenticação do Microsoft Office
O objetivo central da operação não era necessariamente roubar senhas de forma tradicional, mas capturar tokens de autenticação OAuth usados pelos serviços da Microsoft, como o Microsoft 365 (antigo Office 365).
Tokens de autenticação são “chaves digitais” temporárias emitidas após o usuário fazer login com sucesso – muitas vezes, inclusive, depois de passar pela autenticação multifator (MFA). Em vez de pedir a senha a cada acesso, o sistema utiliza o token para comprovar que o usuário já se autenticou.
Ao interceptar esses tokens em trânsito, os atacantes conseguem:
– Assumir sessões já autenticadas;
– Acessar contas de e-mail, arquivos compartilhados, documentos e outros serviços do Microsoft 365;
– Contornar a autenticação multifator, pois o token já representa uma sessão validada.
Isso significa que, mesmo que o usuário tenha uma senha forte e utilize MFA, a conta pode ser comprometida se o roteador estiver vulnerável e o tráfego for desviado pelos servidores dos invasores.
Por que essa técnica é tão perigosa
Um dos pontos mais preocupantes, destacados pelos especialistas, é que o ataque não depende de que o usuário clique em links de phishing, baixe anexos maliciosos ou instale aplicativos suspeitos. O comprometimento acontece “abaixo” da camada de interação do usuário, na própria infraestrutura de rede.
Como observou Ryan English, muitos profissionais de segurança focam em detectar malware sofisticado em computadores e celulares. No entanto, nessa campanha, o grupo russo optou por uma abordagem “clássica”, mexendo diretamente nas configurações de rede:
– Sem malwares em endpoints;
– Sem alterações visíveis na interface do usuário;
– Sem sinais óbvios para quem está navegando.
Esse perfil torna a detecção muito mais difícil para equipes de TI e para usuários domésticos, que raramente verificam ou monitoram configurações de DNS e firmware de roteadores.
Quem vem sendo mais afetado
De acordo com o relatório da Lumen, os alvos principais são:
– Órgãos governamentais, em especial ministérios das relações exteriores;
– Forças policiais e agências de aplicação da lei;
– Provedores terceirizados de e-mail e serviços gerenciados.
No entanto, dispositivos de consumidores também foram impactados, o que amplia o risco para:
– Pequenas empresas;
– Profissionais autônomos;
– Usuários domésticos que utilizam contas corporativas em home office.
A combinação de roteadores antigos, suporte descontinuado pelo fabricante e ausência de atualizações de segurança cria um ambiente perfeito para esse tipo de operação silenciosa.
Por que roteadores antigos são um alvo tão valioso
Roteadores residenciais e de pequenos escritórios costumam ser:
– Instalados uma única vez e depois esquecidos;
– Raramente atualizados com os firmwares mais recentes;
– Mantidos com senhas padrão ou credenciais fracas;
– Substituídos apenas quando param de funcionar completamente.
Para grupos sofisticados como o Forest Blizzard, isso representa uma superfície de ataque enorme. Em vez de tentar infectar milhares de computadores um a um, basta focar na “porta de entrada” da rede. Uma vez dentro do roteador, o atacante tem visibilidade e potencial controle de todo o tráfego que passa por ele.
Além disso, muitos equipamentos mais antigos já não recebem correções de segurança do fabricante, o que significa que vulnerabilidades amplamente conhecidas continuam exploráveis por tempo indefinido.
O que esse ataque revela sobre o cenário atual de cibersegurança
A campanha exposta mostra uma mudança importante na estratégia de grupos apoiados por Estados:
– Menos foco em malware complexo nos endpoints;
– Maior exploração de fraquezas estruturais na infraestrutura de rede;
– Uso de técnicas discretas, que se misturam ao tráfego legítimo;
– Busca por dados de alto valor (tokens, credenciais, comunicações sensíveis) em vez de ataques ruidosos.
Ela também evidencia um ponto crítico: a segurança de serviços em nuvem, como o Microsoft 365, depende não só das defesas do provedor, mas também da segurança da rede pela qual o usuário acessa esses serviços.
Mesmo com tecnologias avançadas de autenticação e monitoramento, se o caminho entre o usuário e a nuvem estiver comprometido – como no caso de um roteador sequestrado – o risco permanece elevado.
Medidas de proteção para empresas e usuários domésticos
Diante desse cenário, algumas recomendações práticas se tornam essenciais:
1. Inventário e atualização de roteadores
– Identificar modelos antigos em uso, especialmente Mikrotik e TP-Link de gerações anteriores;
– Verificar se ainda recebem atualizações de firmware;
– Substituir equipamentos que chegaram ao fim do suporte oficial.
2. Alteração de credenciais padrão
– Trocar imediatamente logins e senhas de administração de roteadores;
– Utilizar senhas longas e únicas, armazenadas em gerenciadores de senhas;
– Desabilitar acesso remoto à interface de administração sempre que possível.
3. Verificação das configurações de DNS
– Conferir periodicamente quais servidores DNS estão configurados no roteador;
– Suspeitar se o DNS estiver apontando para endereços desconhecidos ou não oficiais;
– Em ambientes corporativos, utilizar DNS interno ou controlado pela própria organização.
4. Segmentação de rede e boas práticas de acesso
– Separar, quando possível, a rede de trabalho da rede doméstica;
– Evitar que dispositivos pessoais inseguros compartilhem a mesma rede que ativos corporativos críticos;
– Utilizar VPNs corporativas com validação rigorosa de certificados.
5. Monitoramento de acessos às contas Microsoft
– Analisar registros de logins suspeitos (locais incomuns, horários atípicos, IPs desconhecidos);
– Ativar alertas de segurança e revisões periódicas de atividade de conta;
– Revogar sessões ativas e tokens em caso de qualquer suspeita de comprometimento.
O impacto para governos, empresas e cidadãos
Para órgãos governamentais e forças de segurança, a possibilidade de espionagem por meio de tokens de autenticação roubados é extremamente grave: documentos sensíveis, comunicações diplomáticas, investigações sigilosas e dados pessoais podem ser acessados sem que os usuários percebam qualquer anomalia.
Empresas, por sua vez, correm o risco de sofrer:
– Vazamento de propriedade intelectual e planos estratégicos;
– Comprometimento de e-mails executivos;
– Uso de credenciais para movimentar-se lateralmente por infraestruturas corporativas.
Já para usuários domésticos, especialmente aqueles que utilizam contas corporativas em esquema de trabalho remoto, o risco é ser o “elo fraco” pelo qual um invasor entra na organização. Muitas campanhas de espionagem começam justamente em ambientes domésticos mal protegidos.
Conclusão: a segurança começa pela base da rede
A operação atribuída ao Forest Blizzard deixa uma mensagem clara: não basta apenas investir na proteção de notebooks, celulares e aplicativos. A segurança digital passa, necessariamente, pela infraestrutura que conecta tudo isso – e os roteadores antigos, esquecidos no canto do escritório ou da sala, tornaram-se alvos estratégicos.
Ao explorar falhas conhecidas em equipamentos desatualizados e manipular o DNS para roubar tokens de autenticação, grupos apoiados pelo Estado russo demonstram que táticas simples, bem executadas e focadas na camada de rede ainda são extremamente eficazes.
Para reduzir o risco, governos, empresas e cidadãos precisam tratar roteadores e demais dispositivos de rede com o mesmo rigor que dedicam a computadores e servidores: mantendo-os atualizados, substituindo modelos obsoletos e monitorando constantemente qualquer alteração suspeita nas configurações de acesso à internet.