ロシアのサイバー諜報活動

ルーターハッキングからイランへの衛星情報提供まで——ロシアの新次元サイバー作戦の実態

Russian Cyber Espionage: Your Router Is a Weapon

―Router Hacking to Satellite Intel: Inside Russia’s Next-Level Cyber Operations

2026.04.15

発行元: 一般財団法人日本危機管理研究所

*英訳版は日本語版の後に掲載しています。／ The English translation follows the Japanese text below .

◆ 本稿のねらい

本稿は、2026年4月13日にNSA・FBIが発したWi-Fiルーター再起動勧告を起点に、その背景にあるロシアGRU（軍参謀本部情報総局）の組織的サイバー作戦の実態と、それが2026年2月に始まった米・イスラエル対イラン軍事衝突にどう連動しているかを明らかにする。サイバー攻撃はもはや「情報窃取」にとどまらず、物理的な軍事攻撃の精度を高めるインテリジェンス基盤となっている。政策立案者・報道機関・企業リスク担当者が取るべき行動を具体的に提示する。

【著者注】本稿はNSA・FBIほか20か国以上の公式勧告（2026年4月7日）、米司法省発表、および複数の主要米メディアによる政府当局者への取材報道を主要情報源とする。ロシア・イランの軍事協力に関する部分は、米政府当局者（匿名）の証言に基づく報道段階の情報であり、独立した第三者機関による公式確認は現時点で取れていない。推論箇所はその旨を明示する。

◆ キーワード　＊用語集は巻末

ロシアGRU第85特殊サービスセンター（ロシア本部情報局）/ GRU 85th GTsSS

APT28（ロシア政府系ハッキンググループ） / Fancy Bear Forest Blizzard / Sofacy

DNSハイジャック/ DNS Hijacking

中間者攻撃/ Adversary-in-the-Middle (AitM)

小規模オフィス・家庭用ルーター /SOHO Router

オペレーション・マスカレード /Operation Masquerade (FBI)

対イランインテリジェンス共有/ Russia–Iran Intel Sharing

サイバー・物理融合攻撃 /Cyber-Physical Convergence

◆ エグゼクティブサマリー

1. NSA・FBI・英NCSCほか20か国以上が2026年4月7日に共同勧告を発表。ロシアGRUのAPT28が世界中の家庭・小規模オフィス用ルーターを侵害し、2024年以降DNSハイジャックによる認証情報窃取を継続している。

2. ピーク時（2025年12月）に120か国以上・1万8,000以上のIPアドレスがAPT28インフラと通信。Microsoftは200以上の組織・5,000台の家庭用機器への影響を確認（Microsoft Threat Intelligence報告書、2026年4月）。

3. FBIは「オペレーション・マスカレード」を実施。裁判所の許可のもと米国内の侵害ルーターに直接アクセスし、GRUのDNS設定を強制リセット。前例のない能動的防御措置。

4. 2026年2月28日の米・イスラエルによる対イラン攻撃開始後、ロシアが米軍の艦船・航空機・基地の位置情報をイランに提供したと、ワシントンポスト・CNN・NBCが米政府当局者（匿名）の証言として報道。現時点では報道段階の情報である。

5. ウクライナ情報当局の発表によれば、ロシア衛星が3月21〜31日の10日間に中東11か国46施設を24回以上撮影し、数日以内にイランのミサイル・ドローンが同施設を攻撃したとされる（発表主体はウクライナ当局であり、西側独立機関による裏付けは現時点で限定的）。

6. 日本への直接的示唆：在日米軍基地・エネルギーインフラ・自衛隊ネットワークに接続する家庭用・企業用ルーターが同様の侵害対象となり得る。テレワーク拡大がリスクを拡大している。

１．「ルーターを再起動せよ」——その警告の本当の意味

2026年4月13日、米国家安全保障局（NSA）とFBIは異例の共同声明を発表した。内容は「自宅のWi-Fiルーターを再起動し、ファームウェアを更新せよ」という、一見シンプルなものだった。しかし、その背後にはロシア軍参謀本部情報総局（GRU）による組織的なサイバー諜報作戦の全容が隠されていた。この勧告は、1週間前の4月7日にFBI・NSA・英国家サイバーセキュリティセンター（NCSC）・米司法省、そして米国・カナダ・チェコ・ドイツ・ウクライナほか20か国以上が参加した国際共同勧告に続くものだった（出典：IC3 PSA260407、2026年4月7日）。

◆ ロシア政府系ハッキンググループ「APT28」 DNSハイジャック攻撃の手口

STEP 1 脆弱なルーターへの侵入　

TP-Link等のSOHOルーターの既知脆弱性（CVE-2023-50224）を悪用。認証不要でパスワードを窃取。

▼

STEP 2 　DNS設定の書き換え　

ルーターのDNSサーバーアドレスをGRU管理の悪意あるサーバーに変更。同ネットワーク上の全端末に影響。

▼

STEP 3 中間者攻撃（AitM）　

「outlook.com」等の正規サービスをGRU制御の偽サイトに誘導。ユーザーが正しいURLを入力しても偽サイトへ誘導される。

▼

STEP 4 最終目標　認証情報・トークンの収集　

パスワード、OAuthトークン、メール内容を自動収集。

政府・軍・重要インフラ関係者の情報を選別。

2.「高度な攻撃」は、実は単純だった

GRUの手口で最も重要なのは、被害者のコンピューターに何も仕掛ける必要がないという点だ。攻撃者はリビングルームに置かれた、数年前に設定したまま更新されていないルーターのDNS設定を変えるだけでよかった。そこから先は、スマートフォンも、ノートPCも、すべてが「ルーターの言う通り」に動く。

GRUの作戦は「無差別かつ精密」という二段階の構造を持つ。まず世界中のルーターを広範に侵害し、次にDNSクエリを自動分析して政府・軍・重要インフラ関係者の通信を選別する。ピーク時（2025年12月）には120か国以上から1万8,000以上のIPアドレスがGRUのインフラと通信しており、Microsoft Threat Intelligenceは200以上の組織と5,000台の家庭用機器への影響を2026年4月の分析報告書で確認した。

「GRUは米国の家庭や企業のネットワークを悪意ある作戦に利用し続けており、これは深刻かつ持続的な脅威だ」 — 米司法省国家安全保障担当次官補（2026年4月7日）

3. FBIの前例なき反撃——「オペレーション・マスカレード作戦」

4月7日、FBI・ボストン支局は「オペレーション・マスカレード」の実施を公表した（出典：米司法省プレスリリース、2026年4月7日）。連邦裁判所の許可を得て、GRUが侵害した米国内のルーターに対してFBI自身がリモートアクセスし、GRUのDNS設定を削除してISPからの正規DNSに復元した。

これは、民間インフラへの能動的サイバー防御という点で、米国サイバーセキュリティ政策上の大きな転換点を示す。同時に、「勧告するだけでは足りない」という当局の判断が、問題の深刻さを物語っている。

4. サイバーと物理の融合——ロシアはイランに何を渡したか

【情報精度に関する注記】本セクションで述べるロシア・イラン連携の具体的内容は、ワシントンポスト・CNN・NBCが米政府当局者（いずれも匿名）の証言として報じたものである。公式の情報公開や独立第三者機関による確認は現時点では行われていない。推論箇所はその旨を明示する。

APT28によるサイバー諜報活動が進む中、2026年2月28日に米国とイスラエルが対イラン軍事作戦「オペレーション・エピック・フューリー」を開始した。この時点から、ロシアのサイバー能力は別の局面へ移行した兆候が複数の情報源から報告されている。

ワシントンポスト、CNN、NBCなど主要米メディアが匿名の米政府当局者の証言として報じたところによれば、ロシアはイランに対し、米軍の艦船・航空機・基地の位置情報を衛星画像を含むリアルタイムデータとして提供したとされる。この報道は現時点で報道段階にとどまり、米政府による公式確認はなされていない。

ウクライナの情報当局はさらに詳細を公表し、ロシアの衛星が3月21日から31日の10日間に中東11か国46施設を少なくとも24回撮影し、その後数日以内にイランのミサイルやドローンがそれらの施設を攻撃したと指摘した。ただし、この主張はウクライナ当局による発表であり、独立した西側機関による検証は現時点で限定的である点に留意が必要だ。

ゼレンスキー大統領もイスラエルのエネルギーインフラに関するロシアの衛星情報がイランに提供されたと述べ、「ロシアがウクライナの電力網攻撃で得た経験がイランと共有されている」と主張している（Euronews報道、2026年4月7日）。

【推論】APT28が収集した認証情報・通信内容が衛星画像と組み合わせてイランへの標的情報として活用された可能性は排除できない。ただし、両者を直接結ぶ公開された証拠は現時点で存在せず、これは状況証拠と複数の匿名証言から導かれる推論である。イランの攻撃精度の向上がこの情報支援を傍証する可能性はあるが、断定には至らない。

5. なぜこれが「あなたの問題」なのか

この問題を遠い外国の軍事的話題と捉えるのは危険だ。テレワークが常態化した現代、自宅のルーターは組織のネットワークへの入り口である。軍人・外交官・政府職員・防衛関連企業の従業員が在宅勤務中に使うルーターが侵害されれば、そのVPN認証情報や業務メールの内容が収集される。TP-LinkルーターのCVE-2023-50224という脆弱性は2023年時点で既知のものだった。しかし多くのユーザーはファームウェアを更新しておらず、デフォルトのパスワードのまま使い続けていた。GRUはこの状態を2年以上にわたって組織的に利用した。技術的な高度さよりも、管理の怠慢へのロシアによる組織的な着目が今回の作戦の本質である。

6.まとめ　日本への示唆

在日米軍基地

在日米軍基地の周辺・関係者の自宅ルーターは、米軍通信網への潜在的な侵入口となり得る。日米同盟に係わる機密情報が標的となるリスクは直接的だ。

エネルギー/インフラ

日本の電力・ガス・原子力インフラは「重要インフラ」としてAPT28の標的リストと重複する。遠隔監視システムへの接続に使用されるネットワーク機器の管理状況の総点検が急務だ。

政府/自治体

中央省庁・地方自治体職員のテレワーク端末が経由する家庭用ルーターは、行政情報の漏洩リスクをはらむ。政府支給端末にVPNを義務付けるだけでは不十分で、ルーター側の管理も必要だ。

防衛産業

防衛関連企業の従業員が在宅勤務で扱う情報が、同盟国・パートナー国の安全保障に影響する可能性がある。サプライチェーン全体でのルーターセキュリティ基準の策定を検討すべきだ。

今すぐできること：

①ルーターのファームウェアを更新、

②デフォルトのパスワードを変更、

③リモート管理機能を無効化、

④サポートが終了した機器は交換。再起動だけでは不十分で、DNS設定の確認が必要。

※ 再起動だけでは不十分。ファームウェア更新後に必ずDNS設定（プライマリ・セカンダリ）がISP正規のアドレスになっているかを確認すること。

◆ 参考資料

FBI / IC3 PSA260407 — Russian GRU Exploiting Vulnerable Routers to Steal Sensitive Information (2026.4.7) [ic3.gov]

US DOJ — Justice Department Conducts Court-Authorized Disruption of DNS Hijacking Network Controlled by Russian GRU (2026.4.7) [justice.gov]

UK NCSC Advisory — APT28 exploit routers to enable DNS hijacking operations (2026.4.7) [ncsc.gov.uk]

NSA Press Release — NSA Supports FBI in Highlighting Russian GRU Threats Against Routers (2026.4.7) [nsa.gov]

Washington Post / CNN / NBC News — Russia is providing Iran with targeting information to attack American forces (2026.3.6) ※匿名当局者証言に基づく報道

Euronews / Ukrainian Intelligence — Russia provided Iran with intelligence on Israeli energy sites (2026.4.7) [euronews.com] ※ウクライナ当局発表に基づく報道

Microsoft Threat Intelligence — FrostArmada campaign: Forest Blizzard / Storm-2754 analysis (2026.4) [microsoft.com]

Lumen Black Lotus Labs — FrostArmada campaign technical report (2026.4) [lumen.com]

Newsmax — NSA Urges Americans to Reboot Wi-Fi Routers (2026.4.13) [newsmax.com]

◆ 用語集

APT28（Advanced Persistent Threat 28）

ロシアGRU第85主要特殊サービスセンター（軍部隊26165）に帰属するサイバー脅威アクター。Fancy Bear、Forest Blizzard、Sofacy等の別名を持つ。2004年以来活動が確認されている。

DNSハイジャック（DNS Hijacking）

Domain Name Systemの設定を改ざんし、ユーザーを正規サイトではなく攻撃者が管理する偽サイトに誘導する攻撃手法。ルーターを乗っ取ることで同一ネットワーク上の全端末に影響が及ぶ。

AitM攻撃（Adversary-in-the-Middle）

通信経路の中間に攻撃者が割り込み、送受信されるデータを盗み見・改ざんする攻撃。パスワードや認証トークンの窃取に悪用される。

SOHOルーター（Small Office/Home Office Router）

家庭や小規模オフィス向けのインターネット接続機器。TP-Link、MikroTik等が代表的。企業用と異なりセキュリティ管理が行き届きにくく、国家系APTの標的になりやすい。

CVE-2023-50224

TP-Link製ルーターに存在する認証バイパス脆弱性。悪意ある攻撃者が認証なしにパスワード情報を取得できる。APT28が今回の作戦で主に悪用した脆弱性として、FBI勧告に明記されている。

GRU（ロシア軍参謀本部情報総局）

ロシア連邦軍の軍事情報機関。APT28（部隊26165）のほか、NotPetya攻撃を実行したSandworm（部隊74455）等を傘下に持つ。対外情報機関SVRとは別組織。

シンクホール（Sinkholing）

悪意あるドメインやIPアドレスを法執行機関が管理するサーバーに向け直し、攻撃インフラを無力化する手法。

舩山美保　一般財団法人日本危機管理研究所理事／主任研究員
上智大学卒業（国際政治学）、青山学院大学大学院修了（国際政治経済学・哲学・心理学）。
キヤノン株式会社にて国際標準・新技術の特許調査・分析業務を担当。ISO/IEC JTC1 SC28（オフィス機器）副国際幹事として、国際規格の策定プロセスを主導した実務経験を持つ。標準化交渉の場における多国間調整および技術文書の戦略的分析に従事。中東アジア情報戦略研究所研究員

研究領域:
言語・行動パターンの体系的分析手法を応用した意思決定構造・行動構造の解析を専門とする。とりわけPSYOP（心理作戦）および情報戦の分析、ならびに危機管理政策の視点からセキュリティインテリジェンスの研究・分析を行っている。国際政治学・心理学・哲学にまたがる学際的バックグラウンドを基盤に、国家・非国家アクターによる認知領域への介入メカニズムの解明に取り組む。

Russian Cyber Espionage: Your Router Is a Weapon

Router Hacking to Satellite Intel: Inside Russia’s Next-Level Cyber Operations

From Router Hijacking to Satellite Intelligence Provided to Iran — The Reality of Russia’s New-Dimension Cyber Operations

Published: April 15, 2026

Publisher: Japan Institute of Crisis Management (一般財団法人日本危機管理研究所)

Author: Miho Funayama

Purpose of This Report

This report takes as its starting point the Wi-Fi router reboot advisory issued by the NSA and FBI on April 13, 2026, and clarifies the reality of the organized cyber operations of Russia’s GRU (General Staff’s Main Intelligence Directorate) behind it — and how those operations are linked to the U.S.-Israel versus Iran military confrontation that began in February 2026. Cyberattacks are no longer limited to “intelligence theft” — they have become an intelligence foundation that enhances the precision of physical military attacks. This report presents concrete actions that policymakers, media organizations, and corporate risk managers should take.

[Author’s Note] This report draws primarily on the official advisory issued by the NSA, FBI, and more than 20 other nations (April 7, 2026), U.S. Department of Justice announcements, and reporting by multiple major U.S. media outlets based on interviews with government officials. Information concerning Russia-Iran military cooperation is reporting-stage information based on testimony from U.S. government officials (anonymous), and independent third-party official confirmation has not been obtained at this time. Sections containing inference are explicitly identified as such.

Keywords (Glossary at end)

Russia GRU 85th Special Services Center (Main Intelligence Directorate) / GRU 85th GTsSS / APT28 (Russian government-linked hacking group) / Fancy Bear / Forest Blizzard / Sofacy / DNS Hijacking / Adversary-in-the-Middle (AitM) / SOHO Router (Small Office/Home Office Router) / Operation Masquerade (FBI) / Russia–Iran Intel Sharing / Cyber-Physical Convergence

Executive Summary

The NSA, FBI, UK NCSC, and more than 20 other nations jointly published an advisory on April 7, 2026. Russia’s GRU-affiliated APT28 has been compromising home and small office routers worldwide, conducting continuous credential theft via DNS hijacking since 2024.
At peak activity (December 2025), more than 18,000 IP addresses across 120+ countries were communicating with APT28 infrastructure. Microsoft confirmed impacts on more than 200 organizations and 5,000 home devices (Microsoft Threat Intelligence report, April 2026).
The FBI conducted “Operation Masquerade” — with court authorization, directly accessing compromised routers within the United States and forcibly resetting GRU’s DNS configurations. An unprecedented active defense measure.
Following the U.S.-Israel launch of military operations against Iran on February 28, 2026, the Washington Post, CNN, and NBC reported — based on testimony from anonymous U.S. government officials — that Russia provided Iran with real-time data including satellite imagery on the locations of U.S. military vessels, aircraft, and bases. This remains reporting-stage information at this time.
According to Ukrainian intelligence authorities, Russian satellites photographed 46 facilities in 11 Middle Eastern countries at least 24 times over the 10-day period from March 21–31, and Iranian missiles and drones subsequently attacked those facilities within days (the source of this claim is Ukrainian authorities; corroboration by independent Western institutions is currently limited).
Direct implications for Japan: Home and corporate routers connected to U.S. military bases in Japan, energy infrastructure, and Self-Defense Forces networks could be similarly targeted. The expansion of remote work has amplified this risk.

1. “Reboot Your Router” — What the Warning Really Means

On April 13, 2026, the U.S. National Security Agency (NSA) and FBI issued an unusual joint statement. Its content appeared simple at first glance: “Reboot your home Wi-Fi router and update its firmware.” However, behind this lay the full picture of an organized cyber espionage operation by Russia’s Main Intelligence Directorate (GRU). This advisory followed a joint international advisory on April 7 — participated in by the FBI, NSA, UK National Cyber Security Centre (NCSC), U.S. Department of Justice, and more than 20 nations including the United States, Canada, Czech Republic, Germany, and Ukraine (Source: IC3 PSA260407, April 7, 2026).

◆ Russian Government-Linked Hacking Group “APT28” — How the DNS Hijacking Attack Works

STEP 1: Infiltrating Vulnerable Routers Exploiting known vulnerabilities in SOHO routers such as TP-Link (CVE-2023-50224). Passwords are stolen without authentication required.

▼

STEP 2: Rewriting DNS Settings The router’s DNS server address is changed to a malicious server managed by the GRU. All devices on the same network are affected.

▼

STEP 3: Adversary-in-the-Middle (AitM) Attack Legitimate services such as “outlook.com” are redirected to GRU-controlled fake sites. Even when users enter the correct URL, they are directed to the fake site.

▼

STEP 4: Final Objective — Harvesting Credentials and Tokens Passwords, OAuth tokens, and email contents are automatically collected. Communications of government, military, and critical infrastructure personnel are selectively filtered.

2. The “Sophisticated Attack” Was Actually Simple

The most important point about the GRU’s method is that nothing needs to be installed on the victim’s computer. The attackers only needed to change the DNS settings of a router sitting in a living room — one that hadn’t been updated since it was set up years ago. From that point on, smartphones, laptops, everything “does what the router says.”

The GRU’s operation has a two-stage structure of being “indiscriminate yet precise.” First, routers worldwide are broadly compromised; then DNS queries are automatically analyzed to selectively filter the communications of government, military, and critical infrastructure personnel. At peak activity (December 2025), more than 18,000 IP addresses from 120+ countries were communicating with GRU infrastructure, and Microsoft Threat Intelligence confirmed impacts on more than 200 organizations and 5,000 home devices in its April 2026 analysis report.

“The GRU continues to exploit U.S. home and corporate networks for malicious operations — this is a serious and persistent threat.” — U.S. Assistant Attorney General for National Security (April 7, 2026)

3. The FBI’s Unprecedented Counterattack — “Operation Masquerade”

On April 7, the FBI’s Boston Field Office publicly announced the execution of “Operation Masquerade” (Source: U.S. Department of Justice press release, April 7, 2026). With federal court authorization, the FBI itself remotely accessed GRU-compromised routers within the United States, deleted the GRU’s DNS configurations, and restored legitimate ISP DNS settings.

This represents a major turning point in U.S. cybersecurity policy in terms of active cyber defense of private infrastructure. Simultaneously, the authorities’ judgment that “issuing advisories alone is insufficient” speaks to the severity of the problem.

4. The Fusion of Cyber and Physical — What Russia Passed to Iran

[Note on Information Accuracy] The specific content of Russia-Iran cooperation described in this section was reported by the Washington Post, CNN, and NBC based on testimony from U.S. government officials (all anonymous). No official disclosure or confirmation by independent third-party institutions has been conducted at this time. Sections containing inference are explicitly identified as such.

As APT28’s cyber espionage operations continued, the United States and Israel launched military operation “Operation Epic Fury” against Iran on February 28, 2026. From this point, multiple sources report signs that Russia’s cyber capabilities shifted to a different phase.

According to reporting by major U.S. media including the Washington Post, CNN, and NBC — based on testimony from anonymous U.S. government officials — Russia reportedly provided Iran with real-time data including satellite imagery on the locations of U.S. military vessels, aircraft, and bases. This reporting remains at the reporting stage and has not been officially confirmed by the U.S. government.

Ukrainian intelligence authorities disclosed further details, indicating that Russian satellites photographed 46 facilities in 11 Middle Eastern countries at least 24 times over the 10-day period from March 21–31, and that Iranian missiles and drones subsequently attacked those facilities within days. However, it should be noted that this claim originates from Ukrainian authorities, and verification by independent Western institutions is currently limited.

President Zelensky also stated that Russian satellite intelligence on Israeli energy infrastructure was provided to Iran, claiming that “Russia’s experience from attacking Ukraine’s power grid is being shared with Iran” (Euronews report, April 7, 2026).

[Inference] The possibility cannot be ruled out that credentials and communications content collected by APT28 were combined with satellite imagery and utilized as targeting information for Iran. However, no publicly available evidence directly connecting the two currently exists — this is an inference derived from circumstantial evidence and multiple anonymous testimonies. The possibility that improved Iranian attack precision corroborates this intelligence support exists, but falls short of confirmation.

5. Why This Is “Your Problem”

It is dangerous to perceive this issue as a distant foreign military matter. In an era where remote work has become the norm, home routers are the entry point to organizational networks. If a router used by a military officer, diplomat, government official, or defense industry employee during remote work is compromised, their VPN credentials and business email contents are collected. The CVE-2023-50224 vulnerability in TP-Link routers was already known as of 2023. Yet many users had not updated their firmware and continued using default passwords. The GRU exploited this state of affairs organizationally for more than two years. More than technical sophistication, Russia’s organized focus on management negligence is the essence of this operation.

6. Summary — Implications for Japan

U.S. Military Bases in Japan Routers in the vicinity of U.S. military bases in Japan and in the homes of related personnel could become potential entry points into U.S. military communications networks. The risk that classified information related to the Japan-U.S. alliance becomes a target is direct.

Energy/Infrastructure Japan’s electricity, gas, and nuclear infrastructure overlaps with APT28’s target list as “critical infrastructure.” A comprehensive review of the management status of network equipment used for connections to remote monitoring systems is urgently needed.

Government/Local Authorities Home routers through which central government and local authority staff’s remote work terminals connect carry the risk of administrative information leakage. Mandating VPNs for government-issued terminals alone is insufficient — router-side management is also necessary.

Defense Industry Information handled by defense-related company employees during remote work may affect the security of allied and partner nations. Developing router security standards across the entire supply chain should be considered.

What You Can Do Right Now:

① Update your router’s firmware

② Change the default password

③ Disable remote management functions

④ Replace devices that have reached end-of-support

A reboot alone is insufficient. After updating firmware, always verify that the DNS settings (primary and secondary) have been restored to your ISP’s legitimate addresses.

References

FBI / IC3 PSA260407 — Russian GRU Exploiting Vulnerable Routers to Steal Sensitive Information (April 7, 2026) [ic3.gov]
US DOJ — Justice Department Conducts Court-Authorized Disruption of DNS Hijacking Network Controlled by Russian GRU (April 7, 2026) [justice.gov]
UK NCSC Advisory — APT28 exploit routers to enable DNS hijacking operations (April 7, 2026) [ncsc.gov.uk]
NSA Press Release — NSA Supports FBI in Highlighting Russian GRU Threats Against Routers (April 7, 2026) [nsa.gov]
Washington Post / CNN / NBC News — Russia is providing Iran with targeting information to attack American forces (March 6, 2026) ※Reporting based on anonymous official testimony
Euronews / Ukrainian Intelligence — Russia provided Iran with intelligence on Israeli energy sites (April 7, 2026) [euronews.com] ※Reporting based on Ukrainian authority announcements
Microsoft Threat Intelligence — FrostArmada campaign: Forest Blizzard / Storm-2754 analysis (April 2026) [microsoft.com]
Lumen Black Lotus Labs — FrostArmada campaign technical report (April 2026) [lumen.com]
Newsmax — NSA Urges Americans to Reboot Wi-Fi Routers (April 13, 2026) [newsmax.com]

Glossary

APT28 (Advanced Persistent Threat 28) A cyber threat actor attributed to Russia’s GRU 85th Main Special Services Center (Military Unit 26165). Also known as Fancy Bear, Forest Blizzard, and Sofacy. Activity has been confirmed since 2004.

DNS Hijacking An attack method that alters Domain Name System settings to redirect users to fake sites controlled by attackers rather than legitimate sites. By hijacking a router, all devices on the same network are affected.

AitM Attack (Adversary-in-the-Middle) An attack in which the attacker intercepts the communication path, stealing and potentially altering data being sent and received. Exploited for stealing passwords and authentication tokens.

SOHO Router (Small Office/Home Office Router) Internet connection devices for homes and small offices. Representative examples include TP-Link and MikroTik. Unlike corporate equipment, security management tends to be inadequate, making them easy targets for state-sponsored APTs.

CVE-2023-50224 An authentication bypass vulnerability existing in TP-Link routers. Malicious attackers can obtain password information without authentication. Explicitly identified in the FBI advisory as the primary vulnerability exploited by APT28 in this operation.

GRU (Main Intelligence Directorate of Russia’s General Staff) Russia’s military intelligence agency. In addition to APT28 (Unit 26165), it oversees Sandworm (Unit 74455), which executed the NotPetya attack, among others. A separate organization from the foreign intelligence agency SVR.

Sinkholing A technique for neutralizing attack infrastructure by redirecting malicious domains or IP addresses to servers managed by law enforcement agencies.

Author: Miho Funayama
Director, Japan Institute for Crisis Management ／ Research Fellow, Middle East Asia Intelligence Strategy Institute
B.A. in International Politics, Sophia University; M.A. in International Political Economy, Philosophy, and Psychology, Aoyama Gakuin University Graduate School.
Served at Canon Inc., specializing in patent research and analysis of international standards and emerging technologies. Held the position of Vice International Secretary of ISO/IEC JTC1 SC28 (Office Equipment), leading the development and coordination of international standards through multilateral negotiation processes.

Research Focus:
Specializes in the structural analysis of decision-making and behavioral patterns through systematic linguistic and behavioral analysis methodologies. Conducts research and analysis in security intelligence from the perspectives of PSYOP (Psychological Operations), information warfare, and crisis management policy. Drawing on an interdisciplinary foundation in international politics, psychology, and philosophy, focuses on elucidating the mechanisms of cognitive domain intervention by state and non-state actors.