Ces derniers mois, une opération de cyberespionnage à grande échelle a été mise en lumière, qui a profité des routeurs domestiques et des petits bureaux mal protégés pour « reconnaître de l'intérieur » les réseaux d'intérêt politique et administratif. La campagne, que les chercheurs ont tracée depuis au moins mai 2025 et qui s'est intensifiée en août, a transformé des appareils de marque tels que MikroTik et TP-Link en portes d'accès qui ont redirigé le trafic DNS vers des serveurs contrôlés par les attaquants.
L'acteur responsable a été lié à l'APT28, également connu dans certains rapports comme Forest Blizzard et dans des sous-groupes tels que Storm-2754, un collectif ayant une histoire d'opérations visant les objectifs du gouvernement et du renseignement. Les rapports techniques et les notes de presse des équipes de renseignement de sécurité expliquent que les agresseurs ont obtenu un accès administratif à distance à des dispositifs SOHO vulnérables et ont modifié leur configuration réseau pour forcer l'utilisation de la résolution DNS sous leur contrôle. En modifiant ces résolutions, ils pourraient rediriger les demandes légitimes - y compris les pages de messagerie Web - vers des nœuds agissant en tant qu'intermédiaires malveillants et saisissant des lettres de créances, des jetons et d'autres informations sensibles sans interaction apparente avec les utilisateurs.
L'analyse publique et la surveillance de l'infrastructure ont révélé une portée importante : en décembre 2025, plus de 18 000 adresses IP uniques dans au moins 120 pays ont communiqué avec des serveurs associés à la campagne, que certaines équipes de recherche ont appelés FrostMarina. Ces objectifs comprenaient des ministères des affaires étrangères, des forces de sécurité et des services tiers de courrier et de cloud dans des régions aussi diverses que l'Afrique du Nord, l'Amérique centrale, l'Asie du Sud-Est et l'Europe. Microsoft et d'autres équipes de renseignement ont identifié des centaines d'organisations touchées et des milliers de dispositifs de consommation commis par l'infrastructure malveillante.
Le mécanisme technique par lequel l'avantage a été obtenu est simple dans son concept et dangereux dans son efficacité: avec le contrôle de résolution DNS sur le bord du réseau, l'agresseur peut décider quelle adresse IP répond à une requête de nom, et diriger la victime vers sa propre infrastructure pour essayer des attaques "acteur dans le milieu" (AiTM). Cette position facilite non seulement le vol de mots de passe et de jetons OAuth, mais vous permet également d'observer les modèles de communication, de sélectionner des victimes de valeur et, au cas où vous voulez grimper, déployer des services malveillants ou interrompre.
Dans plusieurs cas, les chercheurs ont constaté que les routeurs TP-Link modèle WR841N avaient été exploités par une vulnérabilité de l'omission d'authentification identifiée comme CVE-2023-50224, qui permet d'extraire les identifiants stockés par des requêtes HTTP spécialement manipulées. L'activité liée aux routeurs MikroTik a également été signalée à des endroits précis, ce qui suggère que l'opération a combiné des techniques de balayage automatisé et des actions interactives plus ciblées contre des objectifs plus intéressants.
La nature de la campagne a été décrite par les autorités et les centres d'intervention comme étant en partie opportuniste: les agresseurs obtiennent la visibilité d'une large base de dispositifs commis et filtrent progressivement pour isoler les utilisateurs et les organisations à valeur de renseignement. Cette opération est prêtée à une opération d'échelle, parce que de nombreux routeurs de bureau domestiques et petits fonctionnent avec des paramètres par défaut, des mots de passe faibles ou un firmware obsolète, et ils échappent souvent à l'examen des équipes de sécurité de l'entreprise.
Face à cela, la réponse internationale n'a pas pris longtemps: L'infrastructure lancée par l'acteur a été désactivée dans le cadre d'une opération conjointe avec les autorités américaines et les partenaires internationaux. Ces interventions visent à couper les canaux d'exfiltration et à démontrer l'activité, mais la leçon de fond reste : les réseaux d'entreprise et les comptes critiques peuvent être compromis par des dispositifs d'apparence périphériques et non gérés.
Pour mieux comprendre qui ils sont derrière et quelles techniques ils utilisent, il faut faire référence à l'analyse technique et aux ressources de référence ouvertes. MITRE recueille la carrière et la tactique d'APT28 sur sa base ATT & CK ( Groupe G0007), alors que la description du défaut de faciliter la suppression des pouvoirs est disponible dans les bases de vulnérabilité publique ( CVE-2023-50224). Des équipes de recherche industrielles telles que Lumen Black Lotus Labs et des blogs de sécurité d'entreprise ont publié des rapports et des analyses sur les campagnes de routeurs et les enlèvements DNS; pour le contexte sur les menaces et les réponses, les pages officielles d'organisations telles que le Royaume Uni CNSC l'initiative Boucliers en haut CISA et le blog de sécurité de Microsoft sont des ressources utiles pour suivre les recommandations et alertes publiques.
Les implications opérationnelles et politiques sont pertinentes. Un acteur étatique ou quasi-étatique qui obtient une visibilité passive sur le trafic de courrier, l'accès aux panneaux administratifs ou aux communications des ministères obtient une source de renseignements peu coûteuse et difficile. Ce type d'accès pourrait être utilisé exclusivement pour la collecte, comme cela a été observé jusqu'à présent, mais la même position d'AiTM pourrait permettre, si désiré, d'introduire des charges malveillantes, interférer avec les services ou pivoter vers des réseaux internes plus protégés.
Si vous travaillez dans une organisation qui dépend de la sécurité des comptes d'entreprise ou des services cloud, ou si vous gérez des réseaux domestiques avec des équipements qui offrent un accès à distance, il existe des mesures pratiques qui aident à réduire les risques : tenir le firmware du routeur à jour, modifier les identifiants par défaut et désactiver l'administration à distance lorsque ce n'est pas strictement nécessaire; utiliser une résolution DNS fiable et valider les changements inattendus dans la configuration du routeur; appliquer l'authentification multifactor dans les services critiques et surveiller tout comportement inhabituel au début de la session. Les autorités et les fournisseurs publient des guides spécifiques qui devraient être suivis et appliqués en priorité dans les infrastructures exposées.
Cette affaire met à nouveau en évidence une réalité de plus en plus claire: la sécurité ne commence pas ou ne finit pas dans les périmètres traditionnels de l'entreprise. Les « petits » appareils entre les mains des utilisateurs ou des bureaux satellites peuvent devenir des amplificateurs d'espionnage s'ils ne sont pas gérés par des pratiques de sécurité de base. Être attentif aux avertissements de sécurité, patcher et réduire la surface de l'attaque sont des actions qui, ensemble, augmentent considérablement le coût d'un attaquant et peuvent empêcher une telle opération de prospérer.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...