Laut einem Bericht von Lumen zielten die Angreifer in erster Linie auf Behörden – darunter Außenministerien, Strafverfolgungsbehörden und Drittanbieter von E-Mail-Diensten. Ryan English, Sicherheitsingenieur bei Black Lotus, betonte, dass die GRU-Hacker keine Malware auf den betroffenen Routern installieren mussten. Bei den Geräten handelte es sich überwiegend um ältere Modelle von Mikrotik und TP-Link aus dem Segment für Klein- und Heimbüros (SOHO).

Stattdessen nutzten die Angreifer bekannte Schwachstellen, um die DNS-Einstellungen der Router so zu verändern, dass sie auf von den Hackern kontrollierte DNS-Server verwiesen. Wie das britische National Cyber Security Centre (NCSC) in einer neuen Mitteilung erläutert, ermöglicht das Domain Name System Nutzern, Webseiten über vertraute Adressen statt über IP-Adressen zu erreichen. Bei einem DNS-Hijacking greifen Angreifer in diesen Vorgang ein und leiten Nutzer verdeckt auf bösartige Seiten um, die Anmeldedaten oder andere sensible Informationen abgreifen.

Die manipulierten Router verwiesen auf eine Handvoll virtueller Server unter Kontrolle der Angreifer. Entscheidend dabei: Die Angreifer konnten ihre bösartigen DNS-Einstellungen an alle Nutzer im lokalen Netzwerk weitergeben und von da an sämtliche übertragenen OAuth-Authentifizierungstoken abfangen. Da solche Tokens üblicherweise erst nach erfolgreicher Anmeldung samt Mehr-Faktor-Authentifizierung übermittelt werden, erhielten die Angreifer direkten Zugriff auf die Konten der Opfer, ohne Anmeldedaten oder Einmalcodes einzeln per Phishing erbeuten zu müssen.

„Alle suchen nach irgendeiner ausgeklügelten Schadsoftware, die etwas auf den Mobilgeräten ablegt", sagte English. „Diese Leute setzten keine Malware ein. Sie machten es auf die altmodische Art, die nicht besonders aufregend wirkt, aber den Zweck erfüllt."

Microsoft beschreibt die Aktivität von Forest Blizzard als DNS-Hijacking zur Unterstützung von Adversary-in-the-Middle-Angriffen (AiTM) auf TLS-Verbindungen gegen die Web-Domains von Microsoft Outlook. Das Anvisieren von SOHO-Geräten sei zwar nicht neu, doch zum ersten Mal beobachte man bei Forest Blizzard den großflächigen Einsatz von DNS-Hijacking zur Unterstützung solcher AiTM-Angriffe nach der Kompromittierung von Edge-Geräten.

Black-Lotus-Ingenieur Danny Adamitis verwies darauf, dass die Gruppe ihre Taktik bereits nach einem ähnlichen NCSC-Bericht im August 2025 sofort umgestellt habe. Damals nutzte Forest Blizzard noch Malware, um eine kleinere, gezielter ausgewählte Gruppe kompromittierter Router zu steuern. Einen Tag nach dem Bericht habe die Gruppe diesen Ansatz jedoch zugunsten der massenhaften DNS-Manipulation an tausenden verwundbaren Routern aufgegeben.

„Vor dem letzten NCSC-Bericht setzten sie diese Fähigkeit nur in sehr begrenztem Umfang ein", sagte Adamitis gegenüber KrebsOnSecurity. „Nach der Veröffentlichung des Berichts setzten sie sie systematischer ein und richteten sie gegen alles, was verwundbar war."