Forest Blizzard kaapt routers om Microsoft Office-tokens te stelen
Russische hackers die aan het leger worden gelinkt, misbruiken oude internetrouters om Microsoft Office-authenticatietokens te pakken. dat zijn tijdelijke inlogbewijzen waarmee een aanvaller een account kan binnenglippen nadat iemand al heeft ingelogd, soms zelfs mét tweestapscontrole.
microsoft en beveiligingsonderzoekers waarschuwen dat de groep Forest Blizzard, ook bekend als APT28 en fancy Bear, een groot spionagenetwerk heeft opgezet.Volgens de bron zijn meer dan 18.000 netwerken geraakt, zonder dat er malware op de router zelf hoefde te worden gezet.
De truc was simpel en slim tegelijk: via bekende fouten in oudere routers pasten de hackers de DNS-instellingen aan. DNS is het systeem dat een webadres vertaalt naar het juiste internetadres. Als dat wordt omgeleid, kan verkeer ongemerkt naar een nepadres gaan.
Wat valt op?
Het opvallendste is niet alleen de schaal, maar ook hoe weinig “gedoe” de hackers nodig hadden. Geen zware software op de router. Geen drukke aanval met veel herrie. Gewoon instellingen wijzigen en dan het verkeer laten meelopen.
Volgens de bron ging het vooral om oudere Mikrotik- en TP-Link-routers voor kleine kantoren en thuiswerkplekken. Veel van die apparaten waren niet meer ondersteund of liepen ver achter met updates.
Kort overzicht
| Onderdeel | Wat er gebeurde |
|---|---|
| doel | microsoft Office-gebruikers en organisaties |
| Methode | DNS-instellingen op routers aanpassen |
| gevolg | OAuth-tokens onderscheppen |
| Schaal | Meer dan 18.000 netwerken geraakt |
| Type apparaten | Vooral oudere SOHO-routers |
hoe groot is het risico?
Voor gewone gebruikers is het risico niet dat “je router ineens explodeert”, maar dat je sessie of inlogsessie wordt misbruikt. Zo’n token kan een aanvaller toegang geven tot mail of documenten zonder dat die opnieuw je wachtwoord hoeft te raden.
Dat is extra lastig omdat veel gebruikers denken: “Ik heb MFA aan, dus ik zit goed.” Deze aanval omzeilt juist dat gevoel van zekerheid, omdat de token pas komt ná een geslaagde login. Daarna kan een hacker alsnog meekijken of meedoen.
Voor kleine bedrijven is het vooral vervelend omdat één zwakke router meerdere mensen op hetzelfde netwerk kan raken.Als de DNS-instelling van de router is aangepast, kan iedereen achter die router anders worden doorgestuurd.
Wie loopt risico?
De bron noemt vooral overheidsdiensten, diplomatieke organisaties, politie en externe e-mailproviders als doelwit. Maar het gebruikte type router zegt ook iets voor thuiswerkers en kleine bedrijven: oude apparatuur is een makkelijke ingang.
Loop je extra risico als je dit herkent?
- Je router is oud en krijgt geen updates meer.
- Je gebruikt een Mikrotik- of TP-Link-router die al lang in dienst is.
- Je kleine kantoor draait op één router voor alles.
- Je ziet rare inlogmeldingen in Microsoft 365 of Outlook op het web.
- Je verandert bijna nooit de routerinstellingen.
Wat moet je nu nalopen?
Begin bij de router. De aanval draaide om DNS-instellingen, dus dat is het eerste wat mis kan zijn. Als je geen idee hebt wie de router beheert,is dat al een signaal dat het tijd is om het uit te zoeken.
Check daarna de Microsoft-kant. In de bron gaat het om office-tokens en outlook op het web. Let op vreemde sessies,onbekende inloggen of meldingen dat iemand ergens anders is ingelogd.
Wat je vandaag nog kunt nalopen:
- Kijk of je router nog updates krijgt van de maker.
- controleer of de DNS-instellingen op de router zijn gewijzigd.
- Zet beheerpw’s van de router om als die al jaren hetzelfde zijn.
- Check in Microsoft 365 of Outlook op het web op onbekende aanmeldingen.
- Log uit op apparaten die je niet meer gebruikt.
- Vervang oude routers die niet meer ondersteund zijn.
Microsoft heeft hier zelf ook uitleg over geplaatst, en de Britse NCSC heeft een advies over hoe Russische cyberacteurs routers misbruiken:
- https://www.microsoft.com/
- https://www.ncsc.gov.uk/
Wat betekent dit op je laptop of telefoon?
Je ziet dit niet altijd meteen. Vaak werkt alles “normaal”, terwijl een aanvaller op de achtergrond verkeer omleidt. Mail opent nog steeds, je browser doet het nog, en toch kan een token zijn buitgemaakt.
Dat maakt deze aanval vies stil. Geen pop-up. Geen blokkade. Alleen een sessie die opeens niet meer veilig is. Dat is precies waarom zulke routeraanvallen gevaarlijk zijn: ze zitten tussen jou en het internet in.
Voor een zzp’er of klein team kan dat betekenen:
- mailvragen die je niet zelf hebt verstuurd;
- documenten die een vreemde kan openen;
- een account dat ineens vanaf een onbekende plek actief lijkt;
- onrust bij klanten als er iets uit jullie mailbox komt dat niet klopt.
Waarom dit nieuws nu telt
Microsoft zegt dat het meer dan 200 organisaties en 5.000 consumentenapparaten terugzag in deze campagne. lumen’s Black Lotus Labs zag het netwerk vooral groeien tot een piek in december 2025. Dat laat zien dat dit geen losse stunt is, maar een brede spionageactie.
De bron noemt ook dat de groep eerder al van aanpak wisselde nadat er in augustus 2025 een vergelijkbaar NCSC-advies uitkwam. Eerst gebruikten ze malware op routers, daarna stapten ze snel over op het massaal aanpassen van DNS.Met andere woorden: als een aanval bekend wordt, kan de methode heel snel veranderen. Slim, maar niet gezellig. 🦫
Goed om te onthouden
Dit gaat niet om een nieuw soort magisch lek, maar om oude apparaten en oude fouten die nog steeds rondhangen. Juist dat maakt het nieuws belangrijk voor gewone plekken: thuis, op kantoor en bij kleine teams.
Een oude router is vaak onopvallend,totdat hij ineens de voordeur blijkt te zijn. Wie alleen naar laptops en telefoons kijkt, mist soms de doos in de meterkast die al het verkeer stuurt.
Meer lezen
De bron achter dit nieuws kun je ook zelf nalezen via Russia Hacked Routers to Steal Microsoft Office Tokens.
Bevers gedachte
De les is simpel: kijk niet alleen naar je wachtwoord of je app, maar ook naar de router erachter. Als die oud, zwak of vergeten is, kan iemand anders de weg naar je mailbox mee bepalen.