Investigasi terbaru dari Black Lotus Labs mengungkap kampanye siber berskala global yang diberi nama FrostArmada, yang dikaitkan dengan aktor ancaman Forest Blizzard. Kampanye ini menunjukkan evolusi taktik yang signifikan dalam operasi pengumpulan intelijen berbasis jaringan, dengan fokus utama pada eksploitasi perangkat edge seperti router dan manipulasi sistem Domain Name System (DNS) untuk mencuri kredensial autentikasi.
"Forest Blizzard (sebelumnya dikenal sebagai STRONTIUM) menggunakan berbagai teknik akses awal, termasuk eksploitasi kerentanan pada aplikasi yang terhubung ke internet (web-facing applications). Untuk mendapatkan kredensial, mereka memanfaatkan spear phishing serta penggunaan alat otomatis untuk serangan password spray atau brute force yang dioperasikan melalui jaringan TOR. Forest Blizzard memiliki kemahiran yang setara dalam membobol lingkungan infrastruktur lokal (on-premises) maupun yang berbasis cloud, serta menggunakan perangkat lunak kustom dan malware khusus untuk mendukung operasi tersebut" Microsoft Threat Intelligence
Forest Blizzard secara strategis memadukan inovasi baru dengan taktik klasik dalam kampanye terbarunya. Dengan mengoperasikan infrastruktur serangan milik sendiri, aktor ini secara spesifik mengincar entitas vital seperti sektor pemerintahan, diplomasi, penegakan hukum, hingga infrastruktur email pihak ketiga untuk kepentingan intelijen mereka.
Aktivitas awal kampanye ini terdeteksi sejak Mei 2025 dalam skala terbatas. Namun, eskalasi besar terjadi segera setelah National Cyber Security Centre merilis laporan berjudul Authentic Antics pada 5 Agustus 2025. Laporan tersebut mengungkap alat malware yang digunakan untuk mencuri kredensial Microsoft Office. Hanya sehari setelah publikasi laporan tersebut, para peneliti mengamati lonjakan eksploitasi router secara luas yang disertai dengan teknik pengalihan DNS. Pola ini menunjukkan kemampuan adaptasi cepat dari aktor ancaman dalam merespons eksposur publik terhadap taktik mereka.
Teknik utama FrostArmada melibatkan eksploitasi akses remote pada router MikroTik dan TP-Link guna mengalihkan resolver DNS. Manipulasi ini menyebar secara sistematis melalui DHCP ke seluruh titik akhir di jaringan lokal, memfasilitasi kontrol lalu lintas data dan eksfiltrasi informasi yang sulit terdeteksi oleh pengguna akhir.
Saat pengguna mengakses layanan login, DNS yang telah dikompromi akan membelokkan trafik ke node Attacker-in-the-Middle (AitM) yang menyamar sebagai layanan asli. Meski sering memicu peringatan sertifikat keamanan, pengguna yang mengabaikan peringatan tersebut berisiko terkena teknik break and inspect. Di sinilah aktor ancaman mencegat lalu lintas data untuk mengambil kredensial hingga token OAuth tepat setelah proses MFA selesai.
Dibandingkan menggunakan kerentanan zero-day, serangan ini lebih memilih memanfaatkan kelemahan mendasar pada sistem DNS. Dengan memanipulasi jalur lalu lintas data, aktor ancaman dapat mengumpulkan informasi rahasia secara efisien tanpa perlu melakukan peretasan langsung pada infrastruktur sistem target.
Investigasi mengungkap adanya pembagian kerja dalam kampanye ini melalui dua klaster utama. Klaster pertama, yang diidentifikasi sebagai "expansion team", bertanggung jawab untuk memperluas jangkauan infeksi dengan mengeksploitasi infrastruktur jaringan secara massal. Tim ini mengincar antarmuka web router melalui kerentanan (CVE) yang sudah ada, terutama pada perangkat usang. Selain router, perangkat seperti firewall enterprise dari Fortinet serta solusi dari vendor menengah seperti Nethesis juga menjadi target utama.
Setelah perangkat berhasil dikompromikan, lalu lintas DNS diarahkan ke server resolusi yang dikendalikan aktor, yang berfungsi seperti resolver normal namun secara selektif memanipulasi permintaan terhadap domain tertentu. Teknik ini memberikan tingkat stealth yang tinggi karena sebagian besar lalu lintas tetap berjalan normal, sehingga sulit dideteksi oleh sistem monitoring tradisional.
Salah satu temuan paling signifikan adalah kemampuan aktor untuk mengumpulkan token OAuth dari workstation dalam jaringan lokal yang terhubung ke router yang telah dikompromikan. Ini menunjukkan bahwa dampak serangan tidak terbatas pada perangkat jaringan saja, tetapi juga meluas ke endpoint pengguna tanpa eksploitasi langsung pada perangkat tersebut.
Data telemetri menunjukkan bahwa puncak aktivitas terjadi pada Desember 2025, dengan lebih dari 18.000 alamat IP unik dari setidaknya 120 negara terlibat dalam interaksi dengan infrastruktur aktor. Dalam snapshot selama satu bulan, tercatat lebih dari 290.000 alamat IP yang mengirimkan permintaan DNS ke server yang dikendalikan aktor, meskipun jumlah korban dengan tingkat kepercayaan sedang diperkirakan sekitar 18.000 berdasarkan frekuensi interaksi.
Peneliti juga mengidentifikasi beberapa node AitM utama yang digunakan dalam kampanye ini. Node pertama mulai aktif pada Mei 2025 dan menerima permintaan DNS dari entitas pemerintah Afghanistan serta firewall di Italia. Node kedua menunjukkan peningkatan aktivitas signifikan pada 6 Agustus 2025, bertepatan dengan eskalasi pasca publikasi laporan NCSC. Node ini juga mendukung DNS over TLS (DoT), yang meningkatkan kompleksitas analisis dan deteksi.
Menariknya, pola koneksi dari node AitM ke berbagai layanan email menunjukkan bahwa sebagian besar kompromi terjadi pada tingkat akun individu, bukan pada infrastruktur backend penyedia layanan. Hal ini menegaskan bahwa tujuan utama kampanye ini adalah pengumpulan intelijen melalui akses email, bukan sabotase sistem secara langsung.
Forest Blizzard sendiri dikenal sebagai aktor yang terkait dengan Unit 26165 dari GRU Rusia (Fancy Bear). Mereka memiliki rekam jejak panjang dalam operasi siber, termasuk serangan password spraying terhadap layanan Microsoft pada 2021 dan pergeseran ke spear phishing pada 2023 ketika adopsi multi-factor authentication meningkat. Dalam kampanye sebelumnya, mereka juga menggunakan alat seperti “NotDoor” untuk memperdalam akses ke sistem target.
Kampanye FrostArmada menunjukkan bahwa meskipun teknik serangan berevolusi, tujuan strategis aktor tetap konsisten, yaitu memperoleh akses terhadap komunikasi sensitif. Adaptasi cepat terhadap eksposur publik menunjukkan tingkat kematangan operasional yang tinggi dan kemungkinan besar aktivitas serupa akan terus berlanjut dengan metode yang dimodifikasi.
Sebagai respons terhadap temuan ini, peneliti telah menambahkan indikator kompromi (IOC) ke dalam sistem deteksi mereka untuk melindungi pelanggan/pengguna/user mereka. Organisasi yang beroperasi di sektor pemerintah, pertahanan, logistik, dan IT disarankan untuk meningkatkan hardening sistem, memantau aktivitas akun secara ketat, serta memastikan semua perangkat jaringan diperbarui dan tidak menggunakan perangkat yang sudah end-of-life.
Mitigasi tambahan seperti implementasi certificate pinning pada perangkat korporasi sangat krusial untuk mendeteksi anomali pada lalu lintas data. Penguatan kebijakan autentikasi serta pembatasan akses remote administratif menjadi langkah kunci dalam meminimalkan risiko serangan serupa. Kampanye FrostArmada ini menjadi peringatan keras bahwa infrastruktur edge sering kali menjadi celah yang terlupakan. Keamanan yang hanya berfokus pada endpoint tidak lagi mencukupi tanpa adanya perlindungan komprehensif pada lapisan jaringan.
Sumber:
Lumen - FrostArmada: All thriller, no (malware) filler
Microsoft Threat Intelligence - Nation State Actor Forest Blizzard
National Cyber Security Centre - Malware Analysis Report AUTHENTIC ANTICS
BleepingComputer.com - Authorities disrupt router DNS hijacks used to steal Microsoft 365 logins
MITRE-ATTCK - Adversary-in-the-Middle
OAuth 2.0 - OAuth Access Tokens