文章总结： APT28组织将攻击基础设施转向劫持家用路由器，并利用合法云服务API作隐蔽C2通道，手法升级为部署短效工具与AI窃取程序。建议企业更新路由器固件、改默认凭证、禁用远程管理，并实施多因素认证及审计OAuth令牌权限以防范威胁。 综合评分： 85 文章分类： 威胁情报,恶意软件,网络安全,云安全,IoT安全

APT28攻击方式升级：劫持路由器与云服务发动隐秘攻击

FreeBuf

2026年6月14日 19:00 上海

在小说阅读器读本章

去阅读

全球最具持久性的黑客组织之一找到了新的隐匿方式。这个被称为Fancy Bear（又称APT28，隶属于俄罗斯军事情报机构GRU第26165部队）的威胁组织正在悄然改变其网络攻击运作模式。

Part01

基础设施转型

该组织不再依赖传统基础设施，转而劫持家用路由器和消费设备构建几乎无法追踪的暗影网络。追踪APT28多年的Sekoia分析师发现，该组织在攻击基础设施管理方式上发生了重大结构性转变。

Sekoia在向网络安全新闻(CSN)提供的报告中指出，APT28已将其大部分操作转移到被入侵的SOHO路由器和边缘设备上，取代了此前作为指挥中心的租用虚拟专用服务器。

这一基础设施规模令人震惊。2025年12月高峰期，研究人员观察到来自120个国家超过18,000个独立IP地址与APT28控制的服务器通信。约200家机构和5,000台消费设备受到影响，受害者主要来自外交部、执法机构和IT托管服务提供商。

Part02

攻击手法升级

APT28的攻击手法也发生显著演变。该组织从稳定的恶意软件框架转向部署短效、单一用途的工具，一旦暴露立即弃用。他们还试验了一款名为LameHug的AI驱动信息窃取程序，该程序通过查询实时AI模型动态生成攻击指令。

这种结合一次性工具、云服务滥用和路由器劫持的方式，使APT28成为当前最具能力的威胁组织之一。

Part03

路由器劫持

APT28最显著的战术转变是对消费级路由器的接管。该组织重新利用了一个基于MooBot恶意软件构建的犯罪僵尸网络，于2022年4月控制了数百台Ubiquiti EdgeRouter路由器。该僵尸网络有三个用途：中继窃取的Microsoft Exchange认证哈希、在住宅IP地址上托管钓鱼页面，以及在劫持的路由器上运行自定义Python脚本。

2024年，FBI的”Operation Dying Ember”行动摧毁了这一网络。但即使在取缔后，仍有超过350台数据中心服务器与攻击者基础设施保持通信，显示出此类僵尸网络的根除难度。

2026年，APT28通过名为FrostArmada的行动扩大了相同手法，这次瞄准MikroTik和TP-Link路由器。攻击者重写DNS设置，将流量重定向至其控制的服务器。受影响网络上的每台设备都会在不知情情况下将登录请求通过APT28节点传输，从而悄无声息地窃取Microsoft 365等服务的凭证和OAuth令牌。

Part04

云服务作为隐蔽命令通道

除路由器劫持外，APT28还通过合法云平台路由恶意软件通信以规避检测。在”Operation Phantom Net Voxel”行动中，该组织部署了一个名为BeardShell的定制C++后门，使用云存储API作为其命令通道。对监控流量者而言，这看起来像是与可信云服务的连接。

该组织可以轻松更换云服务提供商。研究人员观察到数月后同一攻击链被重用于不同的文件托管平台，证实轮换云后端已成为常规操作。在同一操作基础设施上发现的名为Slimagent的键盘记录器，与APT28十多年前的标志性植入程序X-Agent有直接代码渊源。

Part05

防御建议

为降低风险，组织应保持路由器固件更新、修改默认凭证并禁用未使用的远程管理功能。使用云服务的企业应实施防钓鱼的多因素认证，并定期审计OAuth令牌权限。FBI网络犯罪投诉中心在FrostArmada曝光后发布公开警报，敦促家庭用户和小型企业检查路由器设置。

参考来源：

Fancy Bear Hackers Abuse EdgeRouters and Cloud Services to Launch Stealthy Cyberattacks

Fancy Bear Hackers Abuse EdgeRouters and Cloud Services to Launch Stealthy Cyberattacks

推荐阅读

#

#

#

#

#

#

#

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《APT28攻击方式升级：劫持路由器与云服务发动隐秘攻击》