FrostArmada infectó 18.000 dispositivos: comprueba tu dirección IP y duerme tranquilo

El router doméstico rara vez parece el eslabón débil hasta que empiezan a redirigir silenciosamente el tráfico y a falsificar las rutas habituales en la red. En este contexto, la empresa Infrawatch lanzó un servicio en línea gratuito, que ayuda a comprobar rápidamente si un router pudo haber entrado en la infraestructura vinculada al grupo APT28 y a su botnet FrostArmada.

El servicio está disponible en una página independiente de Infrawatch y acepta una dirección IP pública o un rango de direcciones en formato CIDR. Tras la comprobación, la plataforma indica si la dirección figuraba en el conjunto de datos vinculado al aviso del Centro Nacional de Ciberseguridad del Reino Unido (NCSC) del 7 de abril de 2026. La empresa señala de inmediato que la herramienta no garantiza una precisión del cien por cien y que el conjunto de datos se actualiza cada hora.

El motivo para lanzar el servicio fue la revelación de un esquema en el que APT28 empleaba routers vulnerables para interceptar consultas DNS y realizar ataques de intermediario. El NCSC británico informó que los atacantes modificaban la configuración DNS y redirigían el tráfico a través de nodos bajo su control para interceptar contraseñas y tokens de autenticación. Autoridades estadounidenses también vincularon la campaña con una red de routers domésticos y de oficina comprometidos que las fuerzas del orden desmantelaron recientemente.

Infrawatch indica por separado que identificó alrededor de 18.600 posibles víctimas de la campaña. Según Black Lotus Labs, la red FrostArmada llegó a abarcar aproximadamente 18.000 dispositivos en 120 países en su punto máximo y se utilizó en interés de Forest Blizzard, alias APT28. En la práctica, el nuevo servicio ofrece a los propietarios de routers domésticos y de pequeñas redes una forma rápida de saber si el dispositivo requiere una comprobación urgente de la configuración y una actualización de la protección.