Articolo Aggiornato il 17/06/2026 da Francesco Polimeni
Router Wifi. L’FBI e il Dipartimento di Giustizia americano hanno smantellato ad aprile 2026 una rete di router domestici e aziendali compromessi dal gruppo di intelligence militare russo APT28, noto anche come Fancy Bear e Forest Blizzard, per condurre operazioni di spionaggio e furto di credenziali su scala globale.
Contenuto
- APT28 e il GRU: chi sono i responsabili del cyberspionaggio sui router wifi
- Come funziona il DNS hijacking sui router wifi TP-Link
- I modelli di router wifi TP-Link nel mirino di APT28: la lista completa
- La prospettiva TSCM: il router wifi come vettore di sorveglianza
- Perché questa minaccia riguarda anche le aziende italiane
- Cosa fare subito se hai un router wifi a rischio
- Bonifica della rete aziendale: quando serve un professionista TSCM
- Il tuo router wifi potrebbe essere una porta aperta. La tua rete merita una verifica professionale.
- FAQ Domande frequenti sui router WiFi e lo spionaggio APT28
- Autore
APT28 e il GRU: chi sono i responsabili del cyberspionaggio sui router wifi
APT28 non è un gruppo qualsiasi di criminali informatici. È la struttura cyber della GRU, l’intelligence militare russa, attiva da almeno due decenni in operazioni di spionaggio ad alto livello. Lo stesso gruppo è stato collegato agli attacchi alle elezioni americane del 2016, alla compromissione della rete della Casa Bianca nel 2014 e a decine di operazioni contro governi, strutture NATO e infrastrutture critiche in tutto il mondo.
L’FBI e il Dipartimento di Giustizia hanno identificato il gruppo come responsabile dello sfruttamento di router SOHO — acronimo di Small Office Home Office — per costruire un’infrastruttura di intercettazione del traffico di rete. Il metodo è insidioso: non si tratta di violare i singoli dispositivi degli utenti finali, ma di compromettere il nodo attraverso cui passa tutto il traffico di una rete. Fox News
Che cosa significa in pratica? Se un router è sotto il controllo di APT28, ogni richiesta DNS che transita attraverso quel dispositivo può essere deviata, osservata e manipolata, senza che la vittima veda alcun segnale di allarme sul proprio schermo.
Come funziona il DNS hijacking sui router wifi TP-Link
Il DNS come punto di leva dell’attacco
Per capire questo attacco bisogna partire dal DNS — Domain Name System. È il sistema che traduce un nome di dominio (come “banca.it”) nell’indirizzo IP corretto del server. Ogni volta che apri un browser e digiti un indirizzo, il tuo router interroga un server DNS per trovare la destinazione giusta.
I componenti del gruppo APT28 hanno modificato le impostazioni DNS dei router compromessi in modo da far transitare le richieste di navigazione attraverso server sotto il loro controllo. Questo ha consentito loro di monitorare il traffico, identificare bersagli di valore e sottrarre credenziali di accesso, token di autenticazione e dati sensibili delle sessioni.
Il punto più preoccupante di questa tecnica è la sua invisibilità. Il router continua a far navigare normalmente. Il Wi-Fi funziona. I dispositivi si connettono. L’utente non percepisce nulla di anomalo, mentre il traffico viene silenziosamente deviato verso un’infrastruttura di raccolta controllata dal GRU.
Questo attacco si inserisce nel più ampio contesto del cyber-spionaggio e della sicurezza nazionale nell’era ibrida, temi che approfondiamo in questo articolo
Perché i router wifi obsoleti sono il bersaglio ideale
Un router invecchia esattamente come qualsiasi altro dispositivo elettronico, con una differenza importante: la maggior parte delle persone non lo sostituisce mai, nemmeno quando il produttore smette di rilasciare aggiornamenti di sicurezza. Questo crea una finestra permanente di vulnerabilità.
A questo si aggiunge un secondo problema strutturale: le credenziali di accesso al pannello di amministrazione. Il pannello admin è diverso dalla password Wi-Fi — controlla le impostazioni del router stesso, incluso il DNS. La stragrande maggioranza degli utenti non cambia mai queste credenziali rispetto ai valori predefiniti di fabbrica. Per un attaccante con le risorse della GRU, entrare in un router con credenziali di default è banale.
Potrebbe interessarti La Polonia abbandona Signal Messenger: Spionaggio e App
I modelli di router wifi TP-Link nel mirino di APT28: la lista completa
L’FBI ha citato specificamente il modello TP-Link WR841N nel proprio avviso, mentre il National Cyber Security Centre del Regno Unito ha pubblicato un elenco più esteso di modelli TP-Link presi di mira dal gruppo APT28, precisando che tale elenco potrebbe non essere esaustivo.
I modelli identificati nelle comunicazioni ufficiali includono una gamma molto ampia di dispositivi TP-Link, in larga parte fuori supporto da anni: dalla serie WR841N/WR841ND, al WR1043ND, all’Archer C5 e C7, al MR6400 LTE, al WA801ND e WA901ND, fino ai modelli WDR3600, WDR4300, WDR3500. Se possiedi uno di questi router, la raccomandazione delle autorità è categorica: verifica lo stato di supporto e, se il dispositivo non riceve più aggiornamenti firmware, sostituiscilo senza indugio.
Un portavoce di TP-Link Systems Inc. ha confermato che i modelli citati nei report hanno raggiunto lo stato di “End of Service and Life” diversi anni fa, aggiungendo che per alcuni di questi l’azienda ha comunque sviluppato aggiornamenti di sicurezza dove tecnicamente fattibile. La raccomandazione ufficiale di TP-Link è di aggiornare il firmware all’ultima versione disponibile, disabilitare la gestione remota e restringere l’accesso al solo traffico interno fidato — o, meglio ancora, passare a hardware attualmente supportato.
La prospettiva TSCM: il router wifi come vettore di sorveglianza
Commento di Francesco Polimeni, Specialista TSCM – Polinet S.r.l.
Da oltre vent’anni mi occupo di bonifica ambientale e controspionaggio tecnico. Quando parliamo di intercettazione ambientale classica — microspie, cimici, dispositivi GSM nascosti — l’attenzione cade naturalmente sull’hardware fisico. Ma da anni osservo una convergenza sempre più marcata tra sorveglianza fisica e sorveglianza di rete.
Un router compromesso è, a tutti gli effetti, un dispositivo di intercettazione. Non capta audio o video, ma intercetta qualcosa di altrettanto prezioso: il flusso di comunicazioni digitali di un’intera rete. Credenziali di posta, accessi VPN aziendali, sessioni bancarie, comunicazioni cifrate che transitano su connessioni apparentemente sicure ma deviate attraverso un proxy nemico.
Nel contesto di un’ispezione TSCM professionale, la verifica del router — del suo firmware, delle sue impostazioni DNS, della presenza di accessi non autorizzati al pannello admin — è ormai parte integrante del protocollo operativo. Non è più sufficiente controllare le prese elettriche e gli oggetti di arredo. La superficie di attacco si è estesa alla rete stessa.
Ciò che rende questa operazione APT28 particolarmente significativa non è la sofisticazione tecnica — il DNS hijacking è una tecnica nota da anni — ma la scala e la sistematicità. Il GRU ha costruito una botnet di router domestici e di piccoli uffici, sfruttando non una vulnerabilità zero-day ma semplicemente la negligenza degli utenti: password di default, firmware non aggiornato, gestione remota abilitata per comodità. La trascuratezza ordinaria è diventata infrastruttura di spionaggio militare.
Potrebbe interessarti Spionaggio cinese: GPS e telecamere spia nelle coperture civili
Perché questa minaccia riguarda anche le aziende italiane
Il profilo delle vittime tipiche di un’operazione come questa non è quello dei grandi gruppi industriali con infrastrutture IT dedicate. Sono le PMI, i professionisti in smart working, i piccoli studi legali, le aziende manifatturiere con filiali in più sedi che usano router consumer per le connessioni secondarie.
In Italia, dove la percentuale di PMI sul tessuto produttivo supera il 99% e dove il lavoro da remoto ha trasformato milioni di abitazioni private in estensioni di reti aziendali, la superficie esposta è enorme. Un dipendente che accede al gestionale aziendale da casa, attraverso un router TP-Link WR841N con firmware del 2019 e password di default, è un punto di ingresso per chiunque abbia le risorse e la motivazione per sfruttarlo.
APT28 opera su mandato del governo russo e i suoi obiettivi strategici includono sistemi NATO, industria della difesa, infrastrutture energetiche e tecnologica avanzata. Ma la botnet che costruisce per raggiungere questi obiettivi si nutre di dispositivi dimenticati in case e piccoli uffici di tutto il mondo occidentale — inclusa l’Italia.
Cosa fare subito se hai un router wifi a rischio
La risposta non richiede competenze tecniche avanzate. Richiede attenzione e qualche ora di lavoro.
Verifica il modello. L’etichetta sul fondo o sul retro del router riporta il modello esatto. Se corrisponde a uno di quelli citati nell’advisory FBI/NCSC, procedi immediatamente.
Aggiorna il firmware. Accedi al pannello di amministrazione del router (di solito digitando 192.168.1.1 o 192.168.0.1 nel browser) e cerca la sezione dedicata agli aggiornamenti firmware. Se il dispositivo non riceve più aggiornamenti dal produttore, questa opzione sarà assente o inutile.
Cambia le credenziali admin. Imposta una password amministratore lunga e univoca, diversa da quella del Wi-Fi e da qualsiasi altra password che utilizzi. Se non ricordi di averla mai cambiata, quasi certamente è ancora quella di default stampata sull’etichetta del dispositivo — o una delle varianti standard documentate pubblicamente.
Disabilita la gestione remota. La funzione “remote management” o “WAN access” consente di accedere al pannello admin da fuori rete. La maggior parte degli utenti domestici non ne ha bisogno. Disabilitarla elimina un vettore di attacco diretto.
Sostituisci il dispositivo se fuori supporto. Questa è l’unica soluzione definitiva per un router che non riceve più aggiornamenti di sicurezza. Un router consumer di fascia media con supporto attivo costa meno di cento euro. È un investimento modesto rispetto al costo potenziale di una compromissione.
Monitora i certificati di sicurezza. Se il browser inizia a mostrare avvisi su certificati non validi su siti che normalmente funzionano correttamente, non ignorarli. Possono essere il segnale visibile di un’interferenza attiva sul traffico DNS.
Bonifica della rete aziendale: quando serve un professionista TSCM
Le misure descritte sopra sono appropriate per utenti domestici e piccole realtà. Ma esistono contesti in cui il rischio è strutturalmente più elevato e in cui la verifica fai-da-te non è sufficiente.
Se la tua azienda gestisce informazioni riservate, tratta con clienti o fornitori in settori sensibili (difesa, energia, farmaceutico, legale, finanziario), ha subito in passato perdite di informazioni inspiegabili o è esposta a concorrenza aggressiva, la verifica della sicurezza della rete deve essere parte di un protocollo più ampio.
Un’ispezione TSCM professionale include oggi anche l’analisi dell’infrastruttura di rete: verifica del traffico DNS, controllo delle impostazioni dei router, analisi dei log di accesso, identificazione di eventuali dispositivi non autorizzati connessi alla rete. Non si tratta di misure paranoiche — si tratta dello standard operativo che aziende e istituzioni in tutto il mondo stanno adottando in risposta a un panorama delle minacce radicalmente mutato.
Il tuo router wifi potrebbe essere una porta aperta. La tua rete merita una verifica professionale.
Polinet S.r.l. effettua ispezioni TSCM complete che includono la verifica della sicurezza della rete informatica, il controllo dei dispositivi connessi e la bonifica ambientale da eventuali sistemi di intercettazione fisici e digitali. Operiamo dal 2001 con Licenza ex Art. 28 T.U.L.P.S., NATO NCAGE AL332, registrati MEPA/Consip.
Contatta Polinet S.r.l. su spiare.com per una consulenza riservata.
FAQ Domande frequenti sui router WiFi e lo spionaggio APT28
Il mio router TP-Link WR841N è ancora sicuro da usare?
No. Il modello WR841N figura esplicitamente nell’avviso dell’FBI come uno dei dispositivi sfruttati dal gruppo APT28 per operazioni di spionaggio. TP-Link ha confermato che il dispositivo ha raggiunto lo stato di fine vita e non riceve piu aggiornamenti di sicurezza. La sostituzione e la sola misura definitivamente risolutiva.
Cosa e il DNS hijacking e perche e pericoloso?
Il DNS hijacking e la modifica non autorizzata delle impostazioni DNS di un router. Quando un attaccante controlla il DNS, puo deviare il traffico di navigazione attraverso server sotto il suo controllo, consentendo il furto di credenziali, la sorveglianza delle sessioni e attacchi di tipo man-in-the-middle su connessioni apparentemente cifrate.
Come faccio a sapere se il mio router e stato compromesso?
I segnali piu comuni sono: avvisi di certificati non validi su siti normalmente sicuri, rallentamenti inspiegabili della connessione, comportamento anomalo durante le sessioni di banking online. Tuttavia, in molti casi la compromissione non produce sintomi visibili. La verifica tecnica del pannello di amministrazione e l analisi del traffico DNS sono i soli metodi affidabili.
Il reset del router risolve il problema?
Un reset alle impostazioni di fabbrica elimina le modifiche al DNS introdotte dagli attaccanti, ma non risolve la vulnerabilita di fondo. Se il dispositivo ha credenziali di default o firmware non aggiornato, puo essere nuovamente compromesso in breve tempo. Il reset e utile come misura immediata, ma deve essere seguito da aggiornamento firmware, cambio delle credenziali admin e disabilitazione della gestione remota.
APT28 attacca anche in Italia?
Si. Il gruppo ha condotto operazioni documentate contro obiettivi europei, inclusi paesi NATO. Organizzazioni italiane nei settori difesa, energia, istituzioni e infrastrutture critiche rientrano nel profilo dei bersagli storici di APT28. La botnet di router SOHO costruita dal gruppo non ha confini geografici.
Serve un antivirus sul router?
I router domestici non eseguono software antivirus tradizionale. La protezione passa da firmware aggiornato, credenziali robuste, disabilitazione dei servizi non necessari e, per ambienti aziendali, da sistemi UTM (Unified Threat Management) che analizzano il traffico in tempo reale.
