你家的旧路由器，可能正在替俄罗斯军方“打工”

一台被遗忘的路由器，怎么成了情报战的前线

很多人对家里的路由器几乎没有感情。它通常被塞在电视柜后面、门口弱电箱里，落满灰，偶尔断网时才会被想起来拔电重启。可偏偏就是这种“家里最没存在感的设备”，如今被俄罗斯军方关联黑客组织 APT28 大规模利用，卷入了一场横跨 120 个国家的网络间谍行动。

根据 Lumen Technologies 旗下 Black Lotus Labs 与微软披露的信息，这次被控制的消费级路由器大约有 1.8 万到 4 万台，主要来自 MikroTik 和 TP-Link，其中不少还是已经停止更新、长期没人打补丁的老型号。攻击者并没有急着把它们变成传统意义上的“肉鸡”，去发垃圾邮件或打 DDoS，而是干了一件更隐蔽、也更值钱的事：把这些路由器变成账号窃密基础设施的一部分。

这类攻击的阴险之处在于，它不像勒索软件那样会突然弹出一个恐吓界面，也不像银行木马会直接把你卡里的钱划走。它更像有人偷偷换掉了你家楼下的路牌，把你原本该去的地方，悄悄引到另一条巷子里，然后在你毫无察觉时，把口袋里的钥匙复制一份。

黑客没抢密码，而是抢“你已经登录成功的身份”

这次行动的核心手法，是通过入侵路由器篡改 DNS 设置。简单说，DNS 就像互联网的电话簿，负责把“microsoft.com”这样的域名翻译成真实服务器的 IP 地址。一旦路由器里的 DNS 被改掉，连接到这个路由器的电脑、手机，去访问某些指定网站时，就可能先被导到攻击者控制的服务器。

APT28 做得相当克制，也因此更难发现。它并不是把所有流量都重定向，而是只盯着与身份认证相关的少数域名，比如微软 365 这样的服务入口。用户看到的网址可能没变，页面流程看起来也差不多，只是在中间多经过了一层“敌手中间人”代理服务器。浏览器这时通常会弹出不受信任证书警告，如果用户习惯性地点了“继续访问”，攻击者就能截获后续流量。

更关键的是，他们要的未必只是用户名和密码，而是 OAuth token 这类认证令牌。今天很多企业账号都开了多因素认证，大家直觉上会觉得“有 MFA 就安全了”。但现实是，只要攻击者能在你完成 MFA 之后截获有效令牌，他拿到的就是一张已经盖了章、可以直接通行的“电子通行证”。从防守角度看，这比单纯密码泄露麻烦得多，因为它绕过了不少人对账号安全的心理防线。

这也解释了为什么这类行动会被各国情报与执法部门高度关注。攻击者并不需要入侵每一台目标电脑，只要先拿下边缘设备，再把目标用户“请进”自己布置好的通道里，后面的事就顺理成章了。说得直白一点，路由器成了猎手布在门口的捕网。

APT28 不是新面孔，老招数却总能奏效

APT28 这个名字，安全行业已经听了很多年。它也常被称作 Fancy Bear、Sofacy、Forest Blizzard、STRONTIUM，普遍被认为与俄罗斯军事情报机构 GRU 有关。这个组织在过去二十年里留下过太多高调记录：攻击政府机构、外交系统、智库、媒体、选举相关单位，几乎是国家级网络行动中的“老演员”。

所以，这次真正让人不安的，并不是“俄罗斯黑客又出现了”，而是它再次证明了一件老问题始终没被解决：消费级网络设备的安全，依然是全球互联网最松的一块木板。

2018 年，APT28 相关的 VPNFilter 恶意软件就曾感染约 50 万台设备；2024 年，美国司法部还主导过一次针对俄罗斯黑客路由器僵尸网络的反制行动。按理说，行业和公众早该对这类风险形成足够警惕。可现实是，家用和小型办公路由器仍然长期处于“买来就不管”的状态。很多设备出厂默认密码没改，很多固件多年不更新，很多厂商停止支持后，机器却还在继续服役。

这次 Black Lotus Labs 观察到的一个细节尤其值得玩味：2025 年 8 月，英国国家网络安全中心披露了一个窃取微软 Office 凭证和令牌的恶意活动；紧接着第二天，攻击者就迅速扩大了路由器劫持规模。这个动作说明，对手并不是机械地执行脚本，而是在实时根据公开披露调整战术。你揭露一种能力，它立刻换一条路继续拿认证材料。这种“公开—适应—再扩张”的节奏，已经很像成熟情报体系的作战逻辑，而不是普通黑产团伙的碰运气。

为什么偏偏是现在？因为边缘设备成了最便宜的突破口

如果把时间拨回十年前，很多企业安全建设的重点还放在终端杀毒、邮件网关、防火墙。今天这些地方当然仍然重要，但攻击者越来越清楚：与其硬啃被层层防护的企业主机，不如先从边缘设备下手。路由器、交换机、摄像头、NAS，这些设备往往补丁慢、监控弱、日志少，还常年在线，简直像给攻击者留了一个“不太上锁的后门”。

尤其是在远程办公、混合办公成为常态之后，家里那台路由器已经不只是“刷短视频的网关”，它还是公司邮件、企业协同、政务系统、云文档的入口。员工白天在家登录 Microsoft 365、Google Workspace、VPN、内部 OA，所有认证行为都要经过这道门。换句话说，家庭网络与企业网络的边界早就模糊了，但很多人的安全意识还停留在“只要电脑装了杀毒软件就行”。

这也是我觉得这条新闻格外重要的原因：它不是一次孤立攻击，而是对当前数字生活方式的一次提醒。我们把工作、支付、社交、云存储都搬到了线上，却没有同步升级家庭网络的维护习惯。结果就是，最昂贵的数据，可能正从最廉价、最不起眼的硬件里流出去。

从厂商角度看，这同样是一个尴尬问题。消费级路由器市场长期卷价格、卷天线数量、卷“穿墙”，却很少有人真正在乎安全生命周期。设备卖出去两三年后，更新结束，消费者也不一定知道什么叫 EOL（生命周期结束）。可网络攻击不会因为产品停售就停下。于是市场上就长期漂着大量“还能用，但不再安全”的设备，它们对用户来说是正常联网硬件，对攻击者来说则是现成资源。

普通用户能做什么，以及行业该反思什么

如果你现在就想做点什么，最直接的一步不是换更快的宽带，而是登录路由器后台看看 DNS 设置有没有被改成陌生地址。再看看日志里是否有异常的配置变更。如果你的设备已经多年没收到固件更新，或者厂商官网明确写着停止支持，那它在安全意义上其实已经“退休”了，只是你还在让它加班。

另一个很朴素、但总被忽略的建议是：别随手点掉浏览器的证书警告。很多人看到“此连接不受信任”会本能地觉得麻烦，尤其是在着急收邮件、进会议、传文件的时候，点“继续访问”仿佛只是节省三秒钟。但在这类 AitM（对手中间人）攻击里，这三秒钟恰恰是最后一道提醒。你一旦跨过去，后面可能就是整套认证流程被旁观。

不过，责任不能都压给用户。说到底，大多数普通人并不具备判断 DNS、证书链、OAuth 令牌的能力，这很正常。行业更该反思的是：为什么直到今天，消费级网络设备仍然缺乏足够长的软件支持周期、默认安全配置和更友好的异常告警？我们总说“用户不更新”，可前提是厂商得让更新这件事足够容易、足够持久、足够透明。

这几年智能家居越来越普及，从扫地机器人到摄像头，从门锁到电视盒子，家里联网设备只会越来越多。路由器不再只是一个孤立盒子，而是整个家庭数字基础设施的中心。如果它依旧靠用户自己记得去打补丁、查 DNS、辨认证书，那就像要求每个车主都懂发动机控制单元的固件安全一样，现实里注定会失败。

所以，这起事件最后抛出的其实不是一个技术问题，而是一个治理问题：在一个人人都依赖互联网、但并非人人都懂网络安全的时代，谁来为这些“沉默的基础设施”负责？如果答案始终模糊，APT28 这样的组织就还会一次次回来，把旧路由器重新变成新武器。