Un gruppo di hacker filorusso, conosciuto come APT28, dal 2024 sta prendendo di mira i router di piccoli uffici e abitazioni domestiche inglesi per intercettare il traffico internet e sottrarre credenziali di accesso - tra cui password e token di autenticazione per servizi di posta elettronica e web. La conferma è arrivata ieri dal National Cyber Security Centre del Regno Unito (Nscv), che ha pubblicato un avviso di allerta con i dettagli della tipologia di attacco e suggerimenti per far fronte al problema – fra cui l’aggiornamento software e firmware.
Spyware italiano usato in Russia. Il ricercatore che l’ha scoperto: “Perché dietro c’è uno Stato”
07 Novembre 2025
Nello specifico la criticità riguarda soprattutto una ventina di modelli di router TP-Link e marginalmente linee MikroTik. APT28 ha approfittato di vulnerabilità note per alterarne le impostazioni del protocollo dhcp e del dns, al fine di reindirizzare il traffico verso server virtuali controllati dagli aggressori per attuare “attacchi adversary-in-the-middle” che sottraggono credenziali all'insaputa degli utenti.
Tecnicamente vuol dire che l'attaccante non si limita a monitorare passivamente il traffico, ma si interpone tra l'utente e il servizio legittimo, manipolando la comunicazione in tempo reale e aggirando anche la protezione a più fattori. E così ogni dispositivo sulla rete - portatile o anche smartphone connesso in Wi-Fi – ogni volta che accedeva a Microsoft Outlook e Microsoft 365 subiva un reindirizzamento verso infrastrutture sotto il controllo degli aggressori. Questa azione malevola poteva consentire di rubare soprattutto username e password, nonché documenti e mail.
