Morten Lyhne Petersen
En rysk underrättelseoperation har tagit kontroll över tiotusentals hemroutrar världen över för att stjäla lösenord.
Kampanjen har pågått sedan 2024 och kulminerade under vintern och våren 2026, då sårbara TP-Link- och MikroTik-routrar omvandlades till verktyg för spionage. Bakom står gruppen APT28, även känd som Fancy Bear, som det brittiska cybersäkerhetscentret NCSC tillskriver Rysslands militära underrättelsetjänst GRU.
På toppen i december 2025 observerades fler än 18 000 unika IP-adresser i minst 120 länder kommunicera med angriparnas infrastruktur. Microsoft har separat identifierat över 200 organisationer och omkring 5 000 enheter hos privatpersoner som drabbade.
Metoden är teknisk men följderna är konkreta. Angriparna ändrar routerns DNS-inställningar, det vill säga den katalog som översätter webbadresser till IP-nummer, så att trafiken passerar genom servrar de själva kontrollerar. Därifrån fångas lösenord och så kallade autentiseringstoken upp, vilket i vissa fall gör att tvåfaktorinloggning kan kringgås.
Vad gör routern sårbar
Två brister återkommer i rådgivningen från amerikanska FBI och brittiska NCSC: gamla firmware-versioner och fabriksinställda inloggningsuppgifter. Modellen TP-Link WR841N, som säljs i stora volymer till konsumenter och småföretag, pekas ut särskilt och kopplas till sårbarheten CVE-2023-50224.
Operationerna är opportunistiska till sin natur, skriver NCSC i sin rådgivning från den 7 april 2026, där aktören först skaffar sig insyn i en stor mängd potentiella offer och därefter filtrerar fram de mål som har underrättelsevärde.
För ett vanligt svenskt hushåll, där tv, mobiler, högtalare och smarta lampor delar samma trådlösa nätverk, kan en gammal router bli den svaga punkt som öppnar hela hemmet för avlyssning.
Fem steg att gå igenom på tio minuter
1. Uppdatera firmware. Logga in på routerns adminpanel, oftast via 192.168.1.1 eller 192.168.0.1 i webbläsaren, och leta efter en uppdateringsknapp. Om tillverkaren har slutat stödja modellen är det dags att byta ut den.
2. Byt standardlösenord och administratörsnamn. FBI uppmanar användare att byta ut fabrikens användarnamn och lösenord på alla nätverksenheter. Välj en lösenfras på minst sexton tecken, blandat med siffror och symboler.
3. Stäng av WPS och fjärrhantering. WPS-funktionen, som låter gäster ansluta med en åttasiffrig PIN-kod, har länge varit känd för svaga koder som kan knäckas. Fjärrhantering över internet bör vara avstängd för privatpersoner som inte aktivt behöver den.
4. Aktivera WPA3. Om routern stödjer den senaste krypteringsstandarden, slå på den. För äldre utrustning är WPA2 minimum, och öppna nätverk bör undvikas helt.
5. Skapa ett gästnätverk för smarta prylar. Smart-tv, kameror och uppkopplade lampor uppdateras sällan av användaren och utgör en stående risk. Genom att lägga dem på ett separat gästnätverk hindras en kapad termostat från att ge angriparen tillgång till datorn där bankuppgifterna ligger.
FBI rensade amerikanska routrar — resten ligger på användaren
I april meddelade det amerikanska justitiedepartementet att FBI har genomfört en domstolsbeviljad operation för att rensa kapade routrar på amerikansk mark. Genom en serie kommandon till de drabbade enheterna återställdes DNS-inställningarna och spåren efter APT28 togs bort, rapporterar TechCrunch.
För enheter utanför USA finns ingen motsvarande städning. Där ligger ansvaret hos användaren.
En router med svaga grundinställningar, dåligt uppdateringsstöd och en krånglig installationsprocess blir snabbt ett mål för opportunistiska angripare, konstaterar säkerhetsforskaren Pieter Arntz vid Malwarebytes i en analys av kampanjen.
