Router WiFi violati dal GRU russo: l’FBI svela l’operazione di cyber-spionaggio

Articolo Aggiornato il 19/06/2026 da Francesco Polimeni

Router WiFi. L’FBI e il Dipartimento di Giustizia americano (DoJ) hanno annunciato lo smantellamento di una massiccia infrastruttura globale di cyber-spionaggio basata sulla compromissione di router domestici e aziendali di tipo SOHO (Small Office/Home Office). Dietro questa rete occulta si cela APT28 (noto anche come Fancy Bear, Forest Blizzard o Sofacy), un’unità d’élite dell’intelligence militare russa (GRU, Unità 26165).

L’operazione internazionale, denominata in codice Operation Masquerade, ha messo in luce una complessa campagna di intercettazione dati e furto di credenziali su scala globale, che ha preso di mira istituzioni governative, enti militari e infrastrutture critiche nei paesi NATO e in tutto il mondo.

APT28 e il GRU: chi sono i responsabili del cyber-spionaggio sui router WiFi

APT28 non è un semplice collettivo di criminali informatici, ma un braccio operativo statale della Federazione Russa, attivo da oltre due decenni. Questo gruppo è storicamente associato ad attacchi di altissimo profilo, tra cui la violazione del Comitato Nazionale Democratico statunitense nel 2016 e intrusioni nei sistemi della Casa Bianca e di vari ministeri europei.

Potrebbe interessarti La Polonia abbandona Signal Messenger: Spionaggio e App

Nell’ultimo scenario descritto dalle autorità federali, l’intelligence russa ha cambiato paradigma: invece di colpire direttamente i server blindati delle grandi organizzazioni, ha preferito infettare i router SOHO posizionati nelle abitazioni dei dipendenti da remoto o nei piccoli uffici periferici. In questo modo, gli hacker hanno creato una botnet silenziosa per instradare e monitorare il traffico web a piacimento, come riportato anche dalle prime ricostruzioni giornalistiche di Fox News.

Questo attacco si inserisce nel più ampio e preoccupante contesto del cyber-spionaggio e della sicurezza nazionale nell’era ibrida, dove i confini tra reti private e difese statali si fanno sempre più sottili.

Come funziona il DNS Hijacking sui router TP-Link e MikroTik

Il DNS come punto di leva dell’attacco

L’architettura dell’attacco si basa sul DNS Hijacking (dirottamento del Domain Name System). Il DNS è l’elenco telefonico di Internet: traduce i nomi dei domini digitati dall’utente (es. outlook.com) nei rispettivi indirizzi IP numerici necessari alla navigazione.

Gli agenti del GRU hanno modificato da remoto le impostazioni DHCP e DNS dei router vulnerabili, sostituendo i server DNS legittimi (come quelli del provider Internet o di Google) con resolver DNS malevoli controllati direttamente dalla Russia.

Quando un utente connesso alla rete compromessa tentava di accedere a servizi cloud aziendali, come Microsoft 365 o Outlook Web Access (OWA), il DNS modificato rispondeva reindirizzando segretamente il browser verso una copia esatta (clonata) della pagina di login. Trattandosi di un attacco a livello di rete (Adversary-in-the-Middle o AitM), l’utente digitava l’URL corretto e, ingannato dall’interfaccia identica, inseriva le proprie credenziali. Questo ha permesso ad APT28 di intercettare password, token di autenticazione OAuth e dati di sessione sensibili.

Perché i router wifi obsoleti sono il bersaglio ideale

Gli aggressori hanno sfruttato principalmente una combinazione di due fattori:

1. Credenziali di fabbrica non modificate: Molti dispositivi presentavano ancora le password di amministratore di default (es. admin/admin).
2. Falle di sicurezza non patchate: In particolare, gli hacker hanno sfruttato attivamente la vulnerabilità CVE-2023-50224 per estrarre credenziali ed eseguire comandi da remoto su dispositivi TP-Link e MikroTik.

Come confermato dal comunicato ufficiale del Dipartimento di Giustizia USA, gran parte dei modelli finiti nel mirino appartengono a linee di prodotto giunte al termine del ciclo di vita (End-of-Life), per le quali i produttori non rilasciano più aggiornamenti di sicurezza. Tra questi spicca il diffuso modello TP-Link TL-WR841N, un router Wi-Fi 4 economico ma ancora estremamente presente nelle case di milioni di utenti.

La prospettiva TSCM: il router WiFi come vettore di sorveglianza e intercettazione

Dal punto di vista della TSCM (Technical Surveillance Counter Measures) e del controspionaggio elettronico, questo scenario evidenzia come il concetto di “microspia” si sia evoluto. Oggi, un router aziendale o domestico non aggiornato equivale a un microfono ambientale o a un registratore occulto: è un vettore di sorveglianza totale in grado di esfiltrare flussi massivi di dati proprietari senza lasciare tracce visibili sui computer o sugli smartphone delle vittime.

Nelle attività di bonifica elettronica delle reti aziendali, il perimetro di analisi non può più limitarsi alla ricerca di cimici fisiche nei muri. Deve necessariamente comprendere l’analisi dell’integrità dei firmware degli apparati di rete e la verifica stringente dei record DNS e dei flussi di traffico in uscita.

L’impatto sulle aziende italiane e la risposta dell’FBI

Anche se l’operazione di smantellamento dell’FBI si è concentrata sul territorio statunitense purificando da remoto la configurazione dei router compromessi, l’allarme lanciato dalle agenzie di intelligence — inclusa la National Cyber Security Centre (NCSC) del Regno Unito — ha portata globale.

Le aziende italiane, in particolare quelle operanti nei settori dell’energia, della difesa, della pubblica amministrazione e della sanità, rientrano storicamente nel target d’interesse geopolitico di APT28. Il rischio aumenta esponenzialmente a causa della forte adozione del lavoro agile (smart working): un dipendente che accede alla VPN o alla posta aziendale da una rete domestica protetta da un router infetto mette a repentaglio l’intera infrastruttura della propria azienda.

Potrebbe interessarti Spionaggio cinese: GPS e telecamere spia nelle coperture civili

Cosa fare subito per mettere in sicurezza il tuo router WiFi

Per evitare che il proprio dispositivo SOHO diventi un nodo di una botnet di spionaggio statale, è fondamentale seguire rigide linee guida di igiene cibernetica:

• Eseguire un Factory Reset: Se si sospetta una compromissione, un ripristino dei dati di fabbrica tramite l’apposito politico hardware cancella le modifiche malevole apportate al DNS.
• Aggiornare il Firmware: Accedere al pannello di gestione del router e installare l’ultima versione del firmware disponibile sul sito ufficiale del produttore.
• Sostituire gli apparati obsoleti: Se il router è “End-of-Support” (non riceve più aggiornamenti), va tassativamente sostituito con un modello recente.
• Cambiare le credenziali di Amministrazione: Modificare subito la password di accesso al pannello admin (da non confondere con la password della chiave Wi-Fi) impostandone una complessa.
• Disabilitare la Gestione Remota: Impedire l’accesso al pannello di configurazione del router dall’esterno della rete locale (WAN).
• Imporre l’uso di VPN Aziendali: Per i lavoratori da remoto, l’uso di una VPN crittografata impedisce agli attacchi di tipo AitM a monte di intercettare il traffico aziendale, poiché i dati transitano in un tunnel protetto indipendente dai DNS locali.

Per approfondimenti di natura tecnica sulle tattiche di remediation, è possibile consultare i report di settore pubblicati da agenzie specializzate come l’analisi sull’evoluzione del tradecraft di APT28 curata da Sekoia.io.

Domande Frequenti (FAQ)

Come faccio a sapere se il mio router WiFi è stato violato?

Il DNS Hijacking è un attacco silenzioso. Non rallenta necessariamente la connessione e non mostra avvisi strani sul PC. L’unico modo certo per verificarlo è accedere al pannello di amministrazione del router e controllare l’indirizzo IP dei server DNS impostati nella sezione WAN/Internet. Se gli IP non corrispondono a quelli del tuo provider o a servizi sicuri noti (come Google 8.8.8.8 o Cloudflare 1.1.1.1), la rete potrebbe essere compromessa.

Un normale antivirus sul computer può proteggermi da questo attacco?

No. L’antivirus scansiona i file locali e i processi attivi sul PC o sullo smartphone. Poiché questo attacco avviene a livello di infrastruttura di rete (il router dirotta il traffico prima che raggiunga il computer), l’antivirus non rileva alcuna anomalia. Le pagine di phishing clonate dai criminali appaiono del tutto legittime al software di protezione locale.

Cambiare la password della chiave del router WiFi (WPA2/WPA3) è sufficiente?

No. La password del Wi-Fi serve a impedire ai vicini o ai passanti di scroccare la connessione. Gli hacker di APT28 non violano la rete avvicinandosi fisicamente a casa tua; colpiscono via Internet sfruttando falle nel firmware o la password di amministrazione predefinita del pannello di gestione (es. admin/admin), che è una cosa completamente diversa dalla password del Wi-Fi.

Quali sono i modelli di router più a rischio?

L’operazione dell’FBI ha evidenziato vulnerabilità critiche soprattutto su modelli datati a marchio TP-Link (come il TL-WR841N) e MikroTik. In generale, qualsiasi router economico o che ha più di 4-5 anni e non riceve più aggiornamenti dal produttore è da considerarsi ad alto rischio.

Conclusioni

Il caso della botnet smantellata dall’FBI dimostra che la cyber-sicurezza non è più una questione confinata ai soli server aziendali o ai computer dell’ufficio. Oggi, la sicurezza nazionale e la tutela dei dati industriali passano inevitabilmente attraverso le reti domestiche dei lavoratori. Un semplice router Wi-Fi obsoleto può trasformarsi nella porta d’accesso posteriore per lo spionaggio di stato.

In un panorama in cui le minacce informatiche e fisiche convergono, la prevenzione non può essere lasciata al caso. Per le aziende che gestiscono informazioni sensibili, l’adozione di protocolli rigidi e l’esecuzione di verifiche di sicurezza sugli apparati di comunicazione sono passi obbligati per blindare i propri asset informativi contro le intrusioni più sofisticate.