Campagne d'attaque APT28 FrostArmada
Une opération sophistiquée de cyberespionnage, attribuée au groupe de menaces APT28, lié à la Russie et également connu sous le nom de Forest Blizzard, a exploité des infrastructures réseau vulnérables pour mener une surveillance à grande échelle. Active depuis au moins mai 2025, cette campagne, baptisée FrostArmada, visait à compromettre des routeurs MikroTik et TP-Link non sécurisés, les transformant en outils malveillants sous le contrôle des attaquants.
Cette opération ciblait principalement les appareils des particuliers et des petites entreprises (SOHO), exploitant leurs failles de sécurité pour manipuler les paramètres DNS. Les attaquants pouvaient ainsi intercepter et rediriger le trafic réseau, permettant une collecte de données passive et largement indétectable.
Table des matières
Détournement DNS : transformer les routeurs en outils de surveillance silencieux
Au cœur de cette campagne se trouve le détournement DNS, une technique permettant aux attaquants de rediriger le trafic légitime via une infrastructure malveillante. Une fois un routeur compromis, ses paramètres DNS étaient modifiés pour pointer vers des serveurs contrôlés par l'attaquant. Cette manipulation a permis l'interception de données sensibles sans aucune intervention de l'utilisateur.
Lorsque les utilisateurs tentaient d'accéder aux domaines ciblés, leurs requêtes étaient discrètement redirigées vers des nœuds d'interception (AitM). Ces nœuds capturaient les données d'authentification, notamment les identifiants de connexion, et les transmettaient aux attaquants. Le processus était extrêmement discret, ce qui rendait sa détection très difficile.
Décomposition de la chaîne d’attaque : de l’exploitation de vulnérabilités au vol d’identifiants
Le cycle de vie de l'attaque suivait une séquence structurée conçue pour maximiser la collecte de données tout en minimisant la détection :
- Compromission initiale des routeurs SOHO via des vulnérabilités ou des configurations faibles
- Accès administratif non autorisé et modification des paramètres DNS
- Redirection des requêtes DNS vers des résolveurs malveillants contrôlés par un acteur malveillant
- Interception du trafic utilisateur via l'infrastructure AiT
- Collecte et exfiltration d'identifiants, y compris les mots de passe et les jetons OAuth
Cette méthode permettait aux attaquants de surveiller les tentatives de connexion aux plateformes de messagerie et aux services Web, y compris les cas impliquant Microsoft Outlook sur le Web et d'autres systèmes non hébergés par Microsoft.
Portée mondiale et ciblage stratégique
La campagne a pris une ampleur considérable au fil du temps. Débutée de manière limitée en mai 2025, elle s'est rapidement intensifiée dès le début du mois d'août. À son apogée, en décembre 2025, plus de 18 000 adresses IP uniques, réparties dans au moins 120 pays, ont été observées en train de communiquer avec l'infrastructure contrôlée par les attaquants.
Les cibles principales comprenaient :
- Les institutions gouvernementales telles que les ministères des Affaires étrangères et les forces de l'ordre
- Fournisseurs de services de messagerie et de cloud tiers
- Des organisations en Afrique du Nord, en Amérique centrale, en Asie du Sud-Est et en Europe
Plus de 200 organisations et environ 5 000 appareils grand public ont été touchés, ce qui démontre l'ampleur et la portée de l'opération.
Exploitation des vulnérabilités et tactiques d’infrastructure
Les attaquants ont exploité des vulnérabilités connues pour accéder aux équipements réseau. Plus précisément, les routeurs TP-Link WR841N ont été compromis via la vulnérabilité CVE-2023-50224, une faille de contournement d'authentification permettant l'extraction d'identifiants grâce à des requêtes HTTP GET spécialement conçues.
Par ailleurs, un cluster d'infrastructure secondaire a été identifié ; il était chargé de relayer le trafic DNS des routeurs compromis vers des serveurs distants contrôlés par l'attaquant. Ce cluster menait également des opérations ciblées et interactives contre certains routeurs MikroTik, notamment en Ukraine.
Espionnage avancé via la compromission de périphériques de périphérie
Cette campagne marque une évolution significative dans les tactiques opérationnelles d'APT28. Pour la première fois, le groupe a démontré sa capacité à mener des détournements DNS à grande échelle afin de faciliter les attaques AitM contre les connexions TLS (Transport Layer Security).
En compromettant des périphériques, souvent moins surveillés que les systèmes d'entreprise, les attaquants ont obtenu une visibilité en amont sur le trafic réseau. Ce positionnement stratégique leur a permis d'identifier des cibles de grande valeur et de se concentrer sélectivement sur des individus ou des organisations présentant un intérêt en matière de renseignement.
L'opération est considérée comme opportuniste, visant initialement un large éventail d'opérations puis ciblant progressivement un nombre restreint de cibles en fonction de la valeur des données interceptées.
Perturbation opérationnelle et risques persistants
L'infrastructure malveillante qui soutenait FrostArmada a été démantelée grâce à une opération coordonnée du département de la Justice des États-Unis, du FBI et de partenaires internationaux. Malgré ce démantèlement, les techniques employées mettent en évidence les risques persistants liés aux périphériques réseau non sécurisés.
Bien que la campagne se soit principalement concentrée sur le recueil de renseignements, l'utilisation du positionnement AITM présente des menaces plus larges. Un tel accès pourrait permettre des activités malveillantes supplémentaires, notamment le déploiement de logiciels malveillants ou des attaques par déni de service, augmentant considérablement l'impact potentiel sur les organisations ciblées.
Conclusion : Un signal d’alarme pour la sécurité des réseaux
La campagne FrostArmada souligne l'importance cruciale de la sécurisation des périphériques réseau. L'exploitation des routeurs et de l'infrastructure DNS offre aux attaquants un moyen de surveillance puissant et furtif, contournant souvent les contrôles de sécurité traditionnels.
Les organisations comme les particuliers doivent accorder la priorité à une configuration correcte, à l'application rapide des correctifs et à la surveillance continue des périphériques réseau afin d'atténuer les risques posés par ces acteurs malveillants de pointe.
