Nach Einschätzung der Ermittler begann die Aktivität bereits im Mai 2025 in begrenztem Umfang. Die breit angelegte Ausnutzung von Routern und die DNS-Umleitung setzten Anfang August ein. Auf ihrem Höhepunkt im Dezember 2025 kommunizierten mehr als 18.000 einzelne IP-Adressen aus mindestens 120 Ländern mit der Infrastruktur von APT28.

Im Visier standen vor allem Regierungsbehörden – darunter Außenministerien und Strafverfolgungsbehörden – sowie externe E-Mail- und Cloud-Dienstleister in Ländern Nordafrikas, Mittelamerikas, Südostasiens und Europas. Das Microsoft Threat Intelligence Team führt die Aktivität auf APT28 und dessen Untergruppe Storm-2754 zurück und identifizierte mehr als 200 betroffene Organisationen sowie 5.000 Verbrauchergeräte, die mit der bösartigen DNS-Infrastruktur in Verbindung standen.

„Für staatliche Akteure wie Forest Blizzard ermöglicht DNS-Hijacking eine dauerhafte, passive Sichtbarkeit und Aufklärung in großem Maßstab", erklärte Microsoft. Durch die Kompromittierung von Edge-Geräten, die größeren Zielen vorgelagert sind, könnten die Angreifer weniger streng überwachte Komponenten nutzen, um in Unternehmensumgebungen vorzudringen.

Das DNS-Hijacking ermöglichte zudem AitM-Angriffe, mit denen Passwörter, OAuth-Token und weitere Zugangsdaten für Web- und E-Mail-Dienste gestohlen werden konnten. Laut Microsoft ist es das erste Mal, dass die Gruppe DNS-Hijacking in großem Maßstab einsetzt, um nach der Ausnutzung von Edge-Geräten AitM-Angriffe auf TLS-Verbindungen (Transport Layer Security) zu unterstützen.

Im Kern verschafft sich APT28 administrativen Fernzugriff auf die SOHO-Geräte und ändert deren Standardkonfiguration so, dass sie von den Angreifern kontrollierte DNS-Resolver verwenden. Dadurch werden Anfragen für E-Mail-Anwendungen oder Anmeldeseiten von einem bösartigen DNS-Server aufgelöst, woraufhin die Angreifer per AitM-Angriff versuchen, Zugangsdaten abzugreifen. Einige der betroffenen Domains stehen in Verbindung mit Microsoft Outlook im Web. Microsoft stellte außerdem AitM-Aktivität gegen nicht von Microsoft betriebene Server bei mindestens drei Regierungsorganisationen in Afrika fest.

Das britische National Cyber Security Centre (NCSC) geht davon aus, dass die Operationen opportunistisch angelegt sind: Der Akteur verschaffe sich Einblick in eine große Zahl möglicher Ziele und filtere daraus in jeder Phase diejenigen Nutzer heraus, die nachrichtendienstlich von Wert sein könnten.

Für seine DNS-Manipulation nutzte APT28 nach Einschätzung der Forscher TP-Link-Router des Typs WR841N aus, wahrscheinlich über die Schwachstelle CVE-2023-50224 (CVSS-Wert 6.5) – eine Umgehung der Authentifizierung, mit der sich gespeicherte Anmeldedaten über speziell präparierte HTTP-GET-Anfragen auslesen lassen. Ein zweiter Server-Cluster empfing DNS-Anfragen über kompromittierte Router und leitete sie an entfernte, vom Akteur kontrollierte Server weiter; dieser Cluster war zudem an interaktiven Operationen gegen eine kleine Zahl von MikroTik-Routern in der Ukraine beteiligt.

Bislang beobachtete Microsoft den Einsatz des DNS-Hijackings nur zur Informationssammlung. Eine AitM-Position ließe sich jedoch auch für weitere Zwecke nutzen, etwa zur Verbreitung von Schadsoftware oder für Denial-of-Service-Angriffe.