Федеральне бюро розслідувань та Міністерство юстиції США оголосили про успішну судову операцію з нейтралізації масштабної кібершпигунської кампанії, яку провела пов’язана з Росією група APT28, відома також як: Fancy Bear, Forest Blizzard, Storm-2754, GRU Unit 26165. Кампанія отримала кодову назву FrostArmada. Починаючи щонайменше з серпня 2025 року, хакери зламували домашні роутери та обладнання малого бізнесу — здебільшого моделі MikroTik та TP-Link — і змінювали на них налаштування DNS. Зламані роутери перенаправляли весь інтернет-трафік через підконтрольні зловмисникам сервери. Таким чином атакуючі перехоплювали облікові дані — паролі, OAuth-токени, файли cookies — навіть якщо з’єднання виглядало захищеним. Основними цілями стали міністерства закордонних справ, правоохоронні органи, постачальники хмарних сервісів електронної пошти в країнах Північної Африки, Центральної Америки, Південно-Східної Азії та Європи. Microsoft та Lumen ідентифікували понад 200 організацій і 5 000 споживчих пристроїв, що опинилися під впливом шкідливої DNS-інфраструктури.

ФБР отримало судову санкцію та провело технічну операцію: агентство дистанційно скинуло налаштування DNS на заражених роутерах до легітимних, перервавши кампанію шпигунства. Британський Національний центр кібербезпеки паралельно опублікував власний бюлетень з детальними індикаторами компрометації, включаючи IP-адреси шкідливих DNS-серверів та список понад 20 вразливих моделей TP-Link і MikroTik. Для злому роутерів APT28 використовувала, зокрема, CVE-2023-50224 — вразливість у TP-Link WR841N, яка дозволяла неавтентифікованому атакуючому отримати збережені облікові дані через HTTP-запит. Microsoft підтвердила, що в рамках цієї кампанії також проводились атаки типу AitM проти субдоменів Microsoft Outlook та трьох урядових організацій в Африці.