Une opération internationale coordonnée entre les autorités et les entreprises privées a désarticulé une campagne sophistiquée qui a utilisé les routeurs domestiques et petits bureaux pour rediriger le trafic et voler les références Microsoft. Derrière l'opération se trouvait le groupe connu sous le nom d'APT28 - souvent appelé Fancy Bear ou Sofacy - et que les organisations de cybersécurité ont lié avec les services de renseignement russes; leur profil technique peut être consulté dans le dépôt public de MITRE MITRE ATT & CK: APT28.
Le modus operandi était relativement simple dans leur idée mais efficace dans la pratique: les attaquants ont engagé des routeurs exposés à Internet - principalement les modèles MikroTik et TP-Link, en plus de certains appareils de marque tels que Nethesis et les anciens modèles Fortinet - et ont modifié la configuration DNS pour que les requêtes soient résolues sur les serveurs virtuels contrôlés par eux. En diffusant cette nouvelle configuration aux équipes internes via DHCP, tout le trafic de noms pourrait être résolu par l'infrastructure malveillante, qui agissait comme un résolveur et comme un mandataire.
Lorsqu'une victime a tenté de se connecter pour cibler les services d'authentification, la réponse DNS pourrait renvoyer l'IP proxy au lieu du service légitime, dirigeant ainsi le flux vers un adversaire dans le milieu (AitM). Dans de nombreux cas, le seul signe visible pour l'utilisateur aurait été un avis de certificat TLS invalide, un message que beaucoup de gens ignorent souvent par la coutume. Si l'alerte était acceptée ou omise, l'attaquant pourrait renvoyer les requêtes au service réel tout en recueillant des données sensibles, y compris des jetons de connexion valides et OAuth.
Les équipes de recherche ont décrit la campagne comme étant menée sur deux fronts : l'un consacré à la recherche et au compromis d'appareils pour élargir le botnet, et l'autre axé sur l'interception et la collecte de références. Cette stratégie a permis aux agresseurs de construire une vaste zone de victimes potentielles, puis de filtrer parmi eux celles qui présentent un intérêt réel.
L'ampleur de la menace est remarquable : à son apogée, fin 2025, FrostMarina avait atteint des dizaines de milliers d'appareils dans plus de 100 pays, touchant principalement les organismes gouvernementaux, les forces de sécurité, les fournisseurs de services informatiques et d'hébergement, ainsi que les organisations qui gèrent leurs propres serveurs ou services postaux locaux. Microsoft et les chercheurs de Black Lotus Labs de Lumen ont détecté des activités qui ont également affecté les serveurs sur site et certains services d'État, ce qui a confirmé que la campagne ne se limitait pas aux seuls comptes cloud. Microsoft analyse peut être lu plus en détail dans votre rapport technique publié par la société et l'agence britannique de cybersécurité a présenté le problème dans une perspective d'atténuation dans sa déclaration du CNSC. Les indicateurs techniques associés à l'opération ont également été collectés par les chercheurs Dépôt public.
La coopération entre les entreprises et les services de détection et de répression était essentielle pour retirer l'infrastructure offensive du réseau. Microsoft a travaillé avec Lumen pour cartographier les itinéraires de la campagne et aider à identifier les victimes; avec le soutien du FBI, le ministère américain de la Justice. Les autorités américaines et polonaises ont désactivé les serveurs qui ont reçu et envoyé les consultations malveillantes. Ces actions coordonnées montrent que les opérations de médiation à grande échelle nécessitent à la fois des renseignements techniques et un soutien juridique international.
D'un point de vue technique, la campagne met en évidence deux faiblesses récurrentes : d'une part, l'exposition des dispositifs SOHO avec des configurations obsolètes ou des murs fermes et, d'autre part, la dépendance des mécanismes traditionnels de résolution DNS sans contrôles supplémentaires. Les agresseurs ont exploité cette combinaison pour déployer une attaque à grande échelle qui n'avait pas besoin de vulnérabilités complexes de zéro jour : l'accès administratif aux routeurs était suffisant pour imposer une chaîne qui touchait toutes les équipes derrière eux.
Pour les organisations et les gestionnaires, les recommandations devraient être traduites en mesures concrètes et pratiques. Tout d'abord, il est essentiel de vérifier la configuration du DNS sur l'équipement de bord et d'appliquer des mises à jour du firmware aux routeurs et aux pare-feu; les dispositifs hors support doivent être remplacés. Pour les équipes d'entreprise, la mise en oeuvre de politiques de gestion des appareils mobiles (MDM) qui mettent en œuvre la certification peut empêcher un mandataire intermédiaire d'accepter des certificats inattendus et d'alerter immédiatement sur les tentatives d'inspection du trafic. Il est tout aussi pertinent de minimiser l'exposition au périmètre : réduire les services accessibles au public, les réseaux segmentés et les contrôles d'accès qui limitent l'impact si une boîte réseau est compromise.
À partir de la couche d'identité, bien que la campagne ait recueilli des jetons valides OAuth, il y a des mesures qui réduisent les dommages : permettre des protections d'authentification strictes en tant qu'exigence de méthodes de vérification basées sur le matériel, appliquer des politiques de session et de révocation des jetons face à la suspicion d'engagement, et utiliser des règles d'accès conditionnelles qui détectent des anomalies géographiques ou d'un appareil. La surveillance active et la révocation des titres suspects devraient être des procédures opérationnelles normalisées après une alerte.
Enfin, cette opération devrait rappeler que la sécurité d'Internet ne commence pas ou ne se termine pas dans les centres de données : les routeurs de bureau et de ménage sont des infrastructures essentielles qui méritent la même attention en matière de maintenance et de surveillance. La collaboration entre le secteur privé et les autorités a montré qu'il était possible d'atténuer les campagnes globales, mais la prévention - par des mises à jour, une configuration sûre et des pratiques d'hygiène numérique - demeure la meilleure défense contre ces menaces.
Si vous voulez approfondir les résultats techniques et avoir IoC pour examiner votre environnement, voir Microsoft analyse Voilà. la note du CNSC du Royaume-Uni Voilà. et la liste des indicateurs publiés par Black Lotus Labs dans ce dépôt.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...