Nach Darstellung des FBI ging die Gruppe wahllos vor: „Der GRU hat unterschiedslos einen großen Kreis von Opfern in den USA und weltweit kompromittiert und die betroffenen Nutzer anschließend gefiltert, wobei besonders Informationen aus den Bereichen Militär, Regierung und kritische Infrastruktur ins Visier genommen wurden", erklärte die Behörde.

Microsoft führt den Angriff auf Forest Blizzard sowie eine als Storm-2754 verfolgte Untergruppe zurück. Der Konzern identifizierte nach eigenen Angaben mehr als 200 betroffene Organisationen und 5.000 Endgeräte von Verbrauchern.

Zum Vorgehen erklärte Microsoft, Forest Blizzard habe sich Zugang zu SOHO-Geräten verschafft und deren Standardkonfiguration so verändert, dass von Angreifern kontrollierte DNS-Resolver genutzt wurden. Dadurch hätten Tausende Geräte ihre DNS-Anfragen an die Server der Täter geschickt. Mit großer Wahrscheinlichkeit setze die Gruppe dabei das Werkzeug dnsmasq ein – ein legitimes, in Heimroutern und kleineren Netzwerken weit verbreitetes Programm, das unter anderem DNS-Weiterleitung, Zwischenspeicherung und einen DHCP-Server bereitstellt und auf Port 53 auf DNS-Anfragen lauscht.

In den meisten Fällen wurden die DNS-Anfragen laut Microsoft transparent über die Infrastruktur der Angreifer weitergeleitet, sodass die Verbindungen zu den legitimen Diensten ungestört zustande kamen. In einer begrenzten Zahl von Fällen fälschten die Täter jedoch die DNS-Antworten für gezielt ausgewählte Domains, um betroffene Endpunkte zu einer Verbindung mit ihrer eigenen Infrastruktur zu zwingen. Microsoft wies darauf hin, dass solche AitM-Angriffe neben dem Abgreifen von Informationen auch zur Verbreitung von Malware oder für DoS-Angriffe genutzt werden können.

Lumen Technologies, dessen Black Lotus Labs die Kampagne unter dem Namen FrostArmada verfolgt, datiert den Beginn der Router-Angriffe auf August 2025 – kurz nachdem Großbritannien Sanktionen gegen russische Hacker verhängt und eine Kampagne namens Authentic Antics beschrieben hatte, bei der Microsoft-Cloud-Konten angegriffen wurden. Auf dem Höhepunkt der Aktivität im Dezember 2025 registrierte Lumen nach eigenen Angaben mehr als 18.000 eindeutige IP-Adressen aus mindestens 120 Ländern, die mit der Infrastruktur von Forest Blizzard kommunizierten. Ziel seien vor allem Regierungsbehörden gewesen, darunter Außenministerien, Strafverfolgungsbehörden und Drittanbieter von E-Mail-Diensten. Das Unternehmen unterstützte Microsoft und die US-Behörden bei der Zerschlagung der genutzten Infrastruktur.

Das britische National Cyber Security Centre (NCSC) veröffentlichte eine eigene Warnmeldung mit einer umfangreichen Liste von Kompromittierungsindikatoren – darunter VPS-Banner, betroffene Routermodelle, Domains und IP-Adressen der Angreiferinfrastruktur sowie eine Zuordnung zum MITRE-ATT&CK-Modell – und gab Empfehlungen zur Abwehr solcher Angriffe.

Bereits Anfang 2024 hatte das FBI die Zerschlagung eines SOHO-Router-Botnetzes derselben russischen Gruppe gemeldet.