Attribuée à l’unité 26165 du GRU (le renseignement militaire russe), une opération de cyberespionnage d’envergure a été mise à jour par plusieurs agences de cybersécurité, dont le NCSC britannique, et Microsoft.
Depuis au moins août 2025, le groupe APT28 (Fancy Bear, Forest Blizzard ou encore Storm-2754) a exploité des routeurs domestiques et de petites entreprises pour monter une infrastructure de collecte de données à grande échelle.
Selon les chercheurs de Black Lotus Labs, le réseau malveillant aurait infecté jusqu’à 18 000 appareils dans 120 pays à son apogée, ciblant principalement des agences gouvernementales, des forces de l’ordre et des fournisseurs de services informatiques.
Comment fonctionne cette cyberattaque ?
La méthode employée par les attaquants est une technique de détournement DNS (DNS hijacking). Ils tirent parti de vulnérabilités connues sur des routeurs non mis à jour pour modifier leurs paramètres. Une fois le contrôle obtenu, ils remplacent les adresses des serveurs DNS légitimes.
Dès lors, tous les appareils connectés au routeur compromis voient leur trafic internet passer par l’infrastructure des attaquants, leur offrant une » visibilité passive et une reconnaissance à grande échelle « , selon Microsoft. La cyberattaque est furtive car elle ne nécessite l’installation d’aucun malware sur les appareils des victimes.
Cette première étape permet ensuite de lancer des attaques de type Adversary-in-the-Middle (AitM). Lorsqu’un utilisateur tente de se connecter à des services ciblés, comme les domaines liés à Microsoft Outlook, le serveur DNS malveillant le redirige vers une page de connexion frauduleuse.
Le seul indice pour la victime est un avertissement de sécurité concernant un certificat TLS invalide. En saisissant ses informations, l’utilisateur livre sur un plateau ses identifiants et ses tokens d’authentification OAuth aux attaquants, leur donnant un accès direct à ses comptes Microsoft 365.
Quels sont les équipements concernés ?
L’enquête du NCSC a révélé que les cibles principales sont des routeurs des marques TP-Link et MikroTik.
La liste publiée par l’agence britannique inclut une vingtaine de modèles de TP-Link, dont beaucoup sont considérés comme en fin de vie, ce qui signifie qu’ils ne reçoivent plus de mises à jour de sécurité de la part du fabricant. Le recours à des vulnérabilités connues sur du matériel obsolète est une stratégie clé de la campagne d’attaque.
Selon le NCSC, l’opération est » de nature opportuniste, l’attaquant jetant un large filet pour atteindre de nombreuses victimes potentielles, avant de se concentrer sur des cibles présentant un intérêt pour le renseignement « .
Bien que des milliers d’appareils grand public soient touchés, l’objectif final reste la collecte d’informations sensibles auprès de cibles de haute valeur, telles que des agences gouvernementales.
Quelle a été la réponse des autorités ?
Face à cette menace, une coalition internationale incluant le FBI, le département de la Justice américain (DOJ) et des entreprises privées a procédé à une opération de démantèlement.
Le DOJ a annoncé avoir neutralisé les routeurs compromis sur le sol américain grâce à une autorisation judiciaire. Le FBI a développé une série de commandes envoyées aux routeurs compromis pour réinitialiser leurs paramètres DNS et empêcher les attaquants de reprendre le contrôle.
Pour les utilisateurs, les recommandations sont de remplacer tout matériel qui n’est plus supporté par un fabricant, ou de s’assurer que le firmware du routeur est toujours à jour en installant la dernière version disponible.
Les autorités conseillent également de vérifier manuellement les paramètres DNS du routeur et de mettre en place des règles de pare-feu pour limiter l’exposition des interfaces d’administration sur internet.