{"id":15218,"date":"2026-06-15T12:49:01","date_gmt":"2026-06-15T10:49:01","guid":{"rendered":"https:\/\/www.spiare.com\/blog\/?p=15218"},"modified":"2026-06-17T11:21:56","modified_gmt":"2026-06-17T09:21:56","slug":"router-wifi-violati-gru-russo-fbi-apt28","status":"publish","type":"post","link":"https:\/\/www.spiare.com\/blog\/router-wifi-violati-gru-russo-fbi-apt28\/","title":{"rendered":"Router WiFi violati dal GRU russo: l’FBI svela l’operazione"},"content":{"rendered":"\n

Router Wifi<\/em><\/strong>. L’FBI e il Dipartimento di Giustizia americano hanno smantellato ad aprile 2026 una rete di router domestici e aziendali compromessi dal gruppo di intelligence militare russo APT28, noto anche come Fancy Bear e Forest Blizzard, per condurre operazioni di spionaggio e furto di credenziali su scala globale.<\/p>\n\n\n\n

\n\n\n\n

APT28 e il GRU: chi sono i responsabili del cyberspionaggio sui router wifi<\/h2>\n\n\n\n

APT28 non \u00e8 un gruppo qualsiasi di criminali informatici. \u00c8 la struttura cyber della GRU, l’intelligence militare russa, attiva da almeno due decenni in operazioni di spionaggio ad alto livello. Lo stesso gruppo \u00e8 stato collegato agli attacchi alle elezioni americane del 2016, alla compromissione della rete della Casa Bianca nel 2014 e a decine di operazioni contro governi, strutture NATO e infrastrutture critiche in tutto il mondo.<\/p>\n\n\n\n

L’FBI e il Dipartimento di Giustizia hanno identificato il gruppo come responsabile dello sfruttamento di router SOHO \u2014 acronimo di Small Office Home Office \u2014 per costruire un’infrastruttura di intercettazione del traffico di rete. Il metodo \u00e8 insidioso: non si tratta di violare i singoli dispositivi degli utenti finali, ma di compromettere il nodo attraverso cui passa tutto il traffico di una rete. Fox News<\/a><\/p>\n\n\n\n

Che cosa significa in pratica? Se un router \u00e8 sotto il controllo di APT28, ogni richiesta DNS che transita attraverso quel dispositivo pu\u00f2 essere deviata, osservata e manipolata, senza che la vittima veda alcun segnale di allarme sul proprio schermo.<\/p>\n\n\n\n

\n\n\n\n

Come funziona il DNS hijacking sui router wifi TP-Link<\/h2>\n\n\n\n

Il DNS come punto di leva dell’attacco<\/h3>\n\n\n\n

Per capire questo attacco bisogna partire dal DNS \u2014 Domain Name System. \u00c8 il sistema che traduce un nome di dominio (come “banca.it”) nell’indirizzo IP corretto del server. Ogni volta che apri un browser e digiti un indirizzo, il tuo router interroga un server DNS per trovare la destinazione giusta.<\/p>\n\n\n\n

I componenti del gruppo APT28 hanno modificato le impostazioni DNS dei router compromessi in modo da far transitare le richieste di navigazione attraverso server sotto il loro controllo. Questo ha consentito loro di monitorare il traffico, identificare bersagli di valore e sottrarre credenziali di accesso, token di autenticazione e dati sensibili delle sessioni.<\/p>\n\n\n\n

Il punto pi\u00f9 preoccupante di questa tecnica \u00e8 la sua invisibilit\u00e0. Il router continua a far navigare normalmente. Il Wi-Fi funziona. I dispositivi si connettono. L’utente non percepisce nulla di anomalo, mentre il traffico viene silenziosamente deviato verso un’infrastruttura di raccolta controllata dal GRU.<\/p>\n\n\n\n

Questo attacco si inserisce nel pi\u00f9 ampio contesto del cyber-spionaggio e della sicurezza nazionale<\/a> nell’era ibrida, temi che approfondiamo in questo articolo<\/p>\n\n\n\n

Perch\u00e9 i router wifi obsoleti sono il bersaglio ideale<\/h3>\n\n\n\n

Un router invecchia esattamente come qualsiasi altro dispositivo elettronico, con una differenza importante: la maggior parte delle persone non lo sostituisce mai, nemmeno quando il produttore smette di rilasciare aggiornamenti di sicurezza. Questo crea una finestra permanente di vulnerabilit\u00e0.<\/p>\n\n\n\n

A questo si aggiunge un secondo problema strutturale: le credenziali di accesso al pannello di amministrazione. Il pannello admin \u00e8 diverso dalla password Wi-Fi \u2014 controlla le impostazioni del router stesso, incluso il DNS. La stragrande maggioranza degli utenti non cambia mai queste credenziali rispetto ai valori predefiniti di fabbrica. Per un attaccante con le risorse della GRU, entrare in un router con credenziali di default \u00e8 banale.<\/p>\n\n\n\n

\n

Potrebbe interessarti La Polonia abbandona Signal Messenger: Spionaggio e App<\/a><\/p>\n<\/blockquote>\n\n\n\n

\n\n\n\n

I modelli di router wifi TP-Link nel mirino di APT28: la lista completa<\/h2>\n\n\n\n

L’FBI ha citato specificamente il modello TP-Link WR841N nel proprio avviso, mentre il National Cyber Security Centre del Regno Unito ha pubblicato un elenco pi\u00f9 esteso di modelli TP-Link presi di mira dal gruppo APT28, precisando che tale elenco potrebbe non essere esaustivo.<\/p>\n\n\n\n

I modelli identificati nelle comunicazioni ufficiali includono una gamma molto ampia di dispositivi TP-Link, in larga parte fuori supporto da anni: dalla serie WR841N\/WR841ND, al WR1043ND, all’Archer C5 e C7, al MR6400 LTE, al WA801ND e WA901ND, fino ai modelli WDR3600, WDR4300, WDR3500. Se possiedi uno di questi router, la raccomandazione delle autorit\u00e0 \u00e8 categorica: verifica lo stato di supporto e, se il dispositivo non riceve pi\u00f9 aggiornamenti firmware, sostituiscilo senza indugio.<\/p>\n\n\n\n

Un portavoce di TP-Link Systems Inc. ha confermato che i modelli citati nei report hanno raggiunto lo stato di “End of Service and Life” diversi anni fa, aggiungendo che per alcuni di questi l’azienda ha comunque sviluppato aggiornamenti di sicurezza dove tecnicamente fattibile. La raccomandazione ufficiale di TP-Link \u00e8 di aggiornare il firmware all’ultima versione disponibile, disabilitare la gestione remota e restringere l’accesso al solo traffico interno fidato \u2014 o, meglio ancora, passare a hardware attualmente supportato. <\/p>\n\n\n\n

\n\n\n\n

La prospettiva TSCM: il router wifi come vettore di sorveglianza<\/h2>\n\n\n\n

Commento di Francesco Polimeni, Specialista TSCM \u2013 Polinet S.r.l.<\/em><\/p>\n\n\n\n

Da oltre vent’anni mi occupo di bonifica ambientale e controspionaggio tecnico. Quando parliamo di intercettazione ambientale classica \u2014 microspie, cimici, dispositivi GSM nascosti \u2014 l’attenzione cade naturalmente sull’hardware fisico. Ma da anni osservo una convergenza sempre pi\u00f9 marcata tra sorveglianza fisica e sorveglianza di rete.<\/p>\n\n\n\n

Un router compromesso \u00e8, a tutti gli effetti, un dispositivo di intercettazione. Non capta audio o video, ma intercetta qualcosa di altrettanto prezioso: il flusso di comunicazioni digitali di un’intera rete. Credenziali di posta, accessi VPN aziendali, sessioni bancarie, comunicazioni cifrate che transitano su connessioni apparentemente sicure ma deviate attraverso un proxy nemico.<\/p>\n\n\n\n

Nel contesto di un’ispezione TSCM professionale, la verifica del router \u2014 del suo firmware, delle sue impostazioni DNS, della presenza di accessi non autorizzati al pannello admin \u2014 \u00e8 ormai parte integrante del protocollo operativo. Non \u00e8 pi\u00f9 sufficiente controllare le prese elettriche e gli oggetti di arredo. La superficie di attacco si \u00e8 estesa alla rete stessa.<\/p>\n\n\n\n

Ci\u00f2 che rende questa operazione APT28 particolarmente significativa non \u00e8 la sofisticazione tecnica \u2014 il DNS hijacking \u00e8 una tecnica nota da anni \u2014 ma la scala e la sistematicit\u00e0. Il GRU ha costruito una botnet di router domestici e di piccoli uffici, sfruttando non una vulnerabilit\u00e0 zero-day ma semplicemente la negligenza degli utenti: password di default, firmware non aggiornato, gestione remota abilitata per comodit\u00e0. La trascuratezza ordinaria \u00e8 diventata infrastruttura di spionaggio militare.<\/p>\n\n\n\n

\n

Potrebbe interessarti Spionaggio cinese: GPS e telecamere spia nelle coperture civili<\/a><\/p>\n<\/blockquote>\n\n\n\n

\n\n\n\n

Perch\u00e9 questa minaccia riguarda anche le aziende italiane<\/h2>\n\n\n\n

Il profilo delle vittime tipiche di un’operazione come questa non \u00e8 quello dei grandi gruppi industriali con infrastrutture IT dedicate. Sono le PMI, i professionisti in smart working, i piccoli studi legali, le aziende manifatturiere con filiali in pi\u00f9 sedi che usano router consumer per le connessioni secondarie.<\/p>\n\n\n\n

In Italia, dove la percentuale di PMI sul tessuto produttivo supera il 99% e dove il lavoro da remoto ha trasformato milioni di abitazioni private in estensioni di reti aziendali, la superficie esposta \u00e8 enorme. Un dipendente che accede al gestionale aziendale da casa, attraverso un router TP-Link WR841N con firmware del 2019 e password di default, \u00e8 un punto di ingresso per chiunque abbia le risorse e la motivazione per sfruttarlo.<\/p>\n\n\n\n

APT28 opera su mandato del governo russo e i suoi obiettivi strategici includono sistemi NATO, industria della difesa, infrastrutture energetiche e tecnologica avanzata. Ma la botnet che costruisce per raggiungere questi obiettivi si nutre di dispositivi dimenticati in case e piccoli uffici di tutto il mondo occidentale \u2014 inclusa l’Italia.<\/p>\n\n\n\n

\n\n\n\n

Cosa fare subito se hai un router wifi a rischio<\/h2>\n\n\n\n

La risposta non richiede competenze tecniche avanzate. Richiede attenzione e qualche ora di lavoro.<\/p>\n\n\n\n

Verifica il modello.<\/strong> L’etichetta sul fondo o sul retro del router riporta il modello esatto. Se corrisponde a uno di quelli citati nell’advisory FBI\/NCSC, procedi immediatamente.<\/p>\n\n\n\n

Aggiorna il firmware.<\/strong> Accedi al pannello di amministrazione del router (di solito digitando 192.168.1.1 o 192.168.0.1 nel browser) e cerca la sezione dedicata agli aggiornamenti firmware. Se il dispositivo non riceve pi\u00f9 aggiornamenti dal produttore, questa opzione sar\u00e0 assente o inutile.<\/p>\n\n\n\n

Cambia le credenziali admin.<\/strong> Imposta una password amministratore lunga e univoca, diversa da quella del Wi-Fi e da qualsiasi altra password che utilizzi. Se non ricordi di averla mai cambiata, quasi certamente \u00e8 ancora quella di default stampata sull’etichetta del dispositivo \u2014 o una delle varianti standard documentate pubblicamente.<\/p>\n\n\n\n

Disabilita la gestione remota.<\/strong> La funzione “remote management” o “WAN access” consente di accedere al pannello admin da fuori rete. La maggior parte degli utenti domestici non ne ha bisogno. Disabilitarla elimina un vettore di attacco diretto.<\/p>\n\n\n\n

Sostituisci il dispositivo se fuori supporto.<\/strong> Questa \u00e8 l’unica soluzione definitiva per un router che non riceve pi\u00f9 aggiornamenti di sicurezza. Un router consumer di fascia media con supporto attivo costa meno di cento euro. \u00c8 un investimento modesto rispetto al costo potenziale di una compromissione.<\/p>\n\n\n\n

Monitora i certificati di sicurezza.<\/strong> Se il browser inizia a mostrare avvisi su certificati non validi su siti che normalmente funzionano correttamente, non ignorarli. Possono essere il segnale visibile di un’interferenza attiva sul traffico DNS.<\/p>\n\n\n\n

\n\n\n\n

Bonifica della rete aziendale: quando serve un professionista TSCM<\/h2>\n\n\n\n

Le misure descritte sopra sono appropriate per utenti domestici e piccole realt\u00e0. Ma esistono contesti in cui il rischio \u00e8 strutturalmente pi\u00f9 elevato e in cui la verifica fai-da-te non \u00e8 sufficiente.<\/p>\n\n\n\n

Se la tua azienda gestisce informazioni riservate, tratta con clienti o fornitori in settori sensibili (difesa, energia, farmaceutico, legale, finanziario), ha subito in passato perdite di informazioni inspiegabili o \u00e8 esposta a concorrenza aggressiva, la verifica della sicurezza della rete deve essere parte di un protocollo pi\u00f9 ampio.<\/p>\n\n\n\n

Un’ispezione TSCM professionale include oggi anche l’analisi dell’infrastruttura di rete: verifica del traffico DNS, controllo delle impostazioni dei router, analisi dei log di accesso, identificazione di eventuali dispositivi non autorizzati connessi alla rete. Non si tratta di misure paranoiche \u2014 si tratta dello standard operativo che aziende e istituzioni in tutto il mondo stanno adottando in risposta a un panorama delle minacce radicalmente mutato.<\/p>\n\n\n\n

\n\n\n\n

Il tuo router wifi potrebbe essere una porta aperta. La tua rete merita una verifica professionale.<\/strong><\/h2>\n\n\n\n

Polinet S.r.l. effettua ispezioni TSCM complete che includono la verifica della sicurezza della rete informatica, il controllo dei dispositivi connessi e la bonifica ambientale da eventuali sistemi di intercettazione fisici e digitali. Operiamo dal 2001 con Licenza ex Art. 28 T.U.L.P.S., NATO NCAGE AL332, registrati MEPA\/Consip.<\/p>\n\n\n\n

Contatta Polinet S.r.l. su spiare.com<\/a> per una consulenza riservata.<\/p>\n\n\n\n

\n\n\n\n

FAQ Domande frequenti sui router WiFi e lo spionaggio APT28<\/h2>\n\n\n\n

Il mio router TP-Link WR841N \u00e8 ancora sicuro da usare?<\/strong><\/h3>\n\n\n\n

No. Il modello WR841N<\/a> figura esplicitamente nell’avviso dell’FBI come uno dei dispositivi sfruttati dal gruppo APT28 per operazioni di spionaggio. TP-Link ha confermato che il dispositivo ha raggiunto lo stato di fine vita e non riceve piu aggiornamenti di sicurezza. La sostituzione e la sola misura definitivamente risolutiva.<\/p>\n\n\n\n

Cosa e il DNS hijacking e perche e pericoloso?<\/strong><\/h3>\n\n\n\n

Il DNS hijacking e la modifica non autorizzata delle impostazioni DNS di un router. Quando un attaccante controlla il DNS, puo deviare il traffico di navigazione attraverso server sotto il suo controllo, consentendo il furto di credenziali, la sorveglianza delle sessioni e attacchi di tipo man-in-the-middle su connessioni apparentemente cifrate.<\/p>\n\n\n\n

Come faccio a sapere se il mio router e stato compromesso?<\/strong><\/h3>\n\n\n\n

I segnali piu comuni sono: avvisi di certificati non validi su siti normalmente sicuri, rallentamenti inspiegabili della connessione, comportamento anomalo durante le sessioni di banking online. Tuttavia, in molti casi la compromissione non produce sintomi visibili. La verifica tecnica del pannello di amministrazione e l analisi del traffico DNS sono i soli metodi affidabili.<\/p>\n\n\n\n

Il reset del router risolve il problema?<\/strong><\/h3>\n\n\n\n

Un reset alle impostazioni di fabbrica elimina le modifiche al DNS introdotte dagli attaccanti, ma non risolve la vulnerabilita di fondo. Se il dispositivo ha credenziali di default o firmware non aggiornato, puo essere nuovamente compromesso in breve tempo. Il reset e utile come misura immediata, ma deve essere seguito da aggiornamento firmware, cambio delle credenziali admin e disabilitazione della gestione remota.<\/p>\n\n\n\n

APT28 attacca anche in Italia?<\/strong>
Si. Il gruppo ha condotto operazioni documentate contro obiettivi europei, inclusi paesi NATO. Organizzazioni italiane nei settori difesa, energia, istituzioni e infrastrutture critiche rientrano nel profilo dei bersagli storici di APT28. La botnet di router SOHO costruita dal gruppo non ha confini geografici.<\/p>\n\n\n\n

Serve un antivirus sul router?<\/strong>
I router domestici non eseguono software antivirus tradizionale. La protezione passa da firmware aggiornato, credenziali robuste, disabilitazione dei servizi non necessari e, per ambienti aziendali, da sistemi UTM (Unified Threat Management) che analizzano il traffico in tempo reale.<\/p>\n\n\n\n