Получить доступ к промежуточным узлам сети провайдера, с целью подмены DNS и внутреннего пула Ips провайдера своим(например с помощью NAT).

Чтобы, этот самый скомпрометированный узел(в который смотрит целевой роутер) мог бы выглядеть как сеть провайдера, а на самом деле был подконтролен.

Затем, на этом узле развернуть эмуляцию командного сервера TR-069(CWMP), который бы подменял легитимный провайдерский сервер TR-069.

И запросы от которого, включая строго определённый IP или диапазон, были бы включены в список управляющих разрешений, для объявленных в прошивке этого роутера.

Только после этого, получится достучатся до данного роутера со стороны WAN, например, что бы он отдал страницу могущую содержать полезные данные для парса RS.

P.S.

Короче, что бы такое прокинуть, нужно как минимум "врезаться" хотя бы в подъездный(домовой) оптический хаб прова, и то получится отпарсить только подъезд/дом.

Вам нужен такой трах?

Нет, конечно можно подкупить инсайдера, что бы он отпарсил всю местную городскую сеть прямо с провайдерского сервера TR-069, но это уже совсем другая история.