CTI & OSINT

L’unité 26165 du GRU (APT28)

by  • 

Quand un simple JPEG peut déclencher un ransomware

En complément de mon article du 25 Mai 2025 , je vous propose une analyse plus complète qui s’appui sur un document de la CISA que je vous recommande fortement.

Une simple image JPEG peut servir de vecteur insoupçonné de ransomware – de quoi surprendre même les professionnels aguerris. C’est pourtant l’un des faits marquants d’une alerte conjointe publiée le 21 mai 2025 par la CISA (Cybersecurity & Infrastructure Security Agency) avec de nombreux partenaires internationaux (NSA, FBI, NCSC-UK, ANSSI, etc.).

Ce rapport détaille comment l’unité 85e Centre de services spéciaux du GRU (85th GTsSS, alias unité 26165, plus connue sous APT28/Fancy Bear) mène depuis 2022 une campagne d’espionnage avancée visant les entreprises occidentales de logistique et de technologies impliquées dans l’acheminement de l’aide à l’Ukraine. J’en propose ici une synthèse technique, pour mes confrères des CERT, SOC, RSSI et analystes CTI.

Ciblage stratégique du GRU sur la chaîne logistique occidentale

Dès fin février 2022, avec l’intensification du conflit en Ukraine et le soutien croissant des pays occidentaux, l’unité 26165 du GRU a étendu son champ d’action aux acteurs logistiques et IT liés à la livraison d’aide militaire à l’Ukraine. L’objectif stratégique est clair : collecter du renseignement sur les flux d’armes et de matériel transitant vers l’Ukraine, pour éclairer les opérations russes.

Les secteurs visés couvrent les transports (ports, fret maritime, gestion du trafic aérien, réseaux ferrés) ainsi que les prestataires informatiques de ces filières. De nombreux pays alliés sont concernés : l’alerte cite notamment la France, l’Allemagne, la Pologne, la Roumanie, l’Italie, les Pays-Bas, les États-Unis et d’autres, en plus de l’Ukraine elle-même.

La campagne est attribuée au 85^e GTsSS du GRU, une unité de cyberespionnage militaire connue pour ses opérations sophistiquées (suivie sous les noms APT28, Fancy Bear, Forest Blizzard, etc.). L’alerte CISA – co-rédigée avec des agences partenaires américaines et européennes – insiste sur la persistance de ce risque élevé et exhorte les responsables à renforcer la vigilance sur ces menaces étatiques.

Notons que cette campagne cyber s’inscrit en parallèle d’actions d’espionnage plus larges du GRU. Elle est étroitement liée au ciblage à grande échelle de caméras IP en Ukraine et aux frontières de l’OTAN (j’y reviendrai), démontrant une convergence entre cyberattaque et surveillance physique du terrain.

Tactiques d’intrusion : du spearphishing aux failles zero-day

Pour initialiser leurs intrusions, les opérateurs d’APT28 ont recours à un panel de techniques éprouvées combinant ingénierie sociale et exploitation opportuniste de vulnérabilités. J’ai pu relever dans l’alerte les vecteurs initiaux suivants : attaques par brute force et password spraying sur les comptes exposés, campagnes de spearphishing ciblé (vol de mots de passe ou envoi de malware via email), et surtout exploitation de failles logicielles non corrigées. Parmi ces dernières figurent :

  • CVE-2023-23397 (Outlook) : une vulnérabilité critique de Microsoft Outlook permettant de voler les identifiants NTLM de la victime via une simple invitation de calendrier piégée, sans interaction de l’utilisateur. L’unité 26165 l’a massivement weaponisée afin de récolter des hachages d’identifiants Windows. Concrètement, un courriel ou événement malveillant provoque une connexion automatique de l’Outlook de la cible vers un serveur contrôlé par l’attaquant, divulguant le hash NTLM du mot de passe.
  • Failles Roundcube (CVE-2020-12641, -35730, -44026) : le webmail open-source Roundcube, déployé par certaines organisations, présentait plusieurs vulnérabilités (exploitées dès 2020-2021) que le GRU a su combiner pour compromettre des serveurs de messagerie. Injection de commandes shell, SQL injection et XSS ont été utilisées afin de prendre le contrôle de comptes mail et extraire des données sensibles des boîtes aux lettres. En accédant ainsi aux serveurs de messagerie, les acteurs pouvaient lire ou siphonner les échanges stratégiques des cibles (plans logistiques, communications internes, etc.).
  • CVE-2023-38831 (WinRAR) : cette faille plus récente a été intégrée à l’arsenal d’APT28 à l’automne 2023. Elle permet d’exécuter un code malveillant caché dans une archive dès qu’un utilisateur ouvre un fichier prétendument anodin à l’intérieur de celle-ci. En pratique, un simple fichier image “.jpg” ou texte “.txt” au sein d’une archive ZIP peut déclencher l’exécution d’un script viral – par exemple installer un backdoor ou un rançongiciel – si la victime l’ouvre dans une version vulnérable de WinRAR. Ce mode opératoire transforme le fichier JPEG en véritable cheval de Troie, ce qui est particulièrement insidieux. Les acteurs du GRU ont distribué par e-mail des archives piégées exploitant cette vulnérabilité, soit en pièces jointes, soit via des liens de téléchargement déguisés.
  • Autres vecteurs techniques : l’adversaire ne s’est pas privé d’exploiter toute surface exposée. L’alerte mentionne l’exploitation d’infrastructures accessibles sur Internet (serveurs VPN, passerelles, applications web) en tirant parti de failles connues publiquement ou via des injections SQL classiques. Par ailleurs, les attaquants ont aussi compromis des équipements réseaux de petite taille (SOHO) – routeurs ou NAS de bureau, objets connectés domestiques – pour s’en servir de relais discrets à proximité de leurs cibles. En s’appuyant sur des routeurs compromis situés dans le même pays (voire la même ville) que la cible, ils peuvent acheminer leurs commandes et exploits depuis une infrastructure de proxy locale afin de tromper la vigilance des défenseurs (le trafic malveillant semblant provenir du réseau local voisin plutôt que de l’étranger).

Du côté spearphishing, j’observe que les campagnes menées par l’APT28 étaient particulièrement élaborées. Leurs e-mails piégés contenaient par exemple des liens vers de fausses pages de connexion imitant à s’y méprendre des portails d’organismes gouvernementaux ou de messageries Cloud populaires. Ces pages d’hameçonnage, hébergées sur des services légitimes (sites tiers gratuits) ou via les routeurs compromis évoqués, utilisaient même des documents factices légitimes en guise d’appât pour paraître crédibles. Les thèmes des emails variaient d’un contexte professionnel banal à des sujets plus inattendus (voire à caractère adulte), toujours rédigés dans la langue maternelle de la cible pour maximiser le taux de clic. Souvent, les courriels provenaient de comptes déjà compromis ou de boîtes gratuites créées pour l’occasion, ce qui contournait les filtres basiques d’expéditeur fiable.

Certains scénarios sophistiqués allaient jusqu’à enchaîner plusieurs redirections Web (multi-stage redirectors) afin de vérifier l’adresse IP et le navigateur de la victime avant de délivrer la page de phishing. Si l’utilisateur ne se connectait pas depuis la localisation géographique visée ou sans les bons paramètres, il était renvoyé vers un site anodin (par ex. msn.com). Ces mécanismes compliqués visaient à filtrer les visiteurs pour n’afficher la page de vol de mot de passe qu’à la cible légitime, tout en évitant les analystes et sandboxes automatisées. En tant qu’analyste CTI, je reconnais là une patte des groupes APT : une attention particulière à l’opsec, utilisant des services comme Webhook[.]site ou des plateformes Cloud gratuites (InfinityFree, Dynu, etc.) comme maillons temporaires de la chaîne d’attaque. Cela rend le phishing plus difficile à tracer et bloquer, car réparti sur des infrastructures hétérogènes et éphémères.

Persistance furtive et mouvements latéraux

Une fois un premier point d’appui obtenu sur le réseau victime, les opérateurs du GRU s’emploient à pérenniser leur accès et à s’étendre latéralement de façon discrète. D’après l’alerte, ils établissent la persistance en modifiant les permissions des boîtes aux lettres Exchange compromises (par exemple en s’octroyant des droits d’accès délégués sur des comptes de messagerie stratégiques). Cela leur permet de continuer à surveiller les communications internes même si les identifiants volés sont changés. En parallèle, sur les postes et serveurs compromis, ils installent des mécanismes de ré-exécution automatique : tâches planifiées malveillantes, clés de registre Run altérées, ou raccourcis dans les dossiers de démarrage Windows, assurant le relancement de leurs implants à chaque reboot. J’ai déjà rencontré ces techniques de persistance dans d’autres campagnes APT, et ici encore elles sont confirmées.

Les attaquants cherchent ensuite à escalader leurs privilèges et à cartographier le SI. Ils utilisent pour cela des outils standards ou open-source déjà présents ou autorisés, minimisant le déclenchement d’alertes. Par exemple, l’usage de frameworks comme Impacket/SecretsDump ou de l’outil PsExec a été observé pour parcourir le réseau et compromettre d’autres machines. Ils n’hésitent pas à activer des services légitimes comme Remote Desktop (RDP) afin de se déplacer latéralement d’un hôte à l’autre une fois des accès administrateurs obtenus. L’un de leurs objectifs principaux est de récupérer la base Active Directory (fichier NTDS.dit) qui contient l’ensemble des identifiants et hash de mots de passe du domaine. Ainsi, les agents du GRU tentent systématiquement d’extraire les données d’identification stockées dans AD pour compromettre toute autre machine ou compte sensible au sein de l’entreprise.

Bien sûr, cette activité pourrait laisser des traces dans les journaux Windows. C’est pourquoi l’alerte souligne que les acteurs veillent à effacer les logs d’événements sur les machines visées, notamment via l’outil système wevtutil. En supprimant ou purgeant les traces d’accès, d’exécution de service ou d’échec de connexion, ils compliquent grandement le travail d’investigation forensique des équipes de sécurité. J’ai déjà observé cette technique d’effacement de logs dans des compromissions de haut niveau : ici, son usage systématique atteste du professionnalisme de cette campagne, cherchant à rester indétectée aussi longtemps que possible.

Enfin, notons que l’APT28 adapte son mode opératoire pour chaque environnement. Les implants déployés peuvent être développés sur mesure (la note mentionne des exécutables tels que HEADLACE ou MASEPIE) et s’appuient sur des scripts multi-langages (batch .bat, VBScript, Python, PowerShell…) selon les systèmes compromis. En somme, une fois à l’intérieur, le groupe applique les recettes classiques de post-exploitation des APT : usage d’outils “living-off-the-land” (scripts natifs, outils d’administration légitimes), élévation de privilèges, déplacements latéraux, collecte de credentials, exfiltration discrète, et nettoyage des indices.

Exfiltration des données et infrastructure de commandement

L’unité 26165 ne se contente pas d’espionner : elle exfiltre régulièrement les informations sensibles collectées vers ses propres serveurs, en prenant soin de masquer ces transferts au milieu du trafic légitime.

Les données volées (documents, bases de données, emails) sont d’abord agrégées et préparées en interne : les opérateurs utilisent des scripts PowerShell ou des outils en ligne de commande pour récupérer les fichiers d’intérêt, puis ils les compressent fréquemment en archives ZIP avant extraction. J’attire l’attention sur ce point, car de gros volumes de données qui se mettent soudain à être compressés sur un serveur peuvent constituer un indicateur précurseur d’exfiltration en cours.

Pour les emails, l’alerte décrit une méthode particulièrement astucieuse : les attaquants exploitent les API standard d’Exchange (EWS) ainsi que le protocole mail IMAP pour aspirer le contenu des boîtes aux lettres de manière continue. En se connectant à intervalles réguliers via EWS, ils récupèrent les nouveaux messages entrants/sortants depuis la dernière exfiltration.

Ce procédé de polling discret leur offre un accès prolongé aux échanges sans déclencher d’anomalie flagrante (on voit simplement un client mail autorisé interroger le serveur). De plus, utiliser les API légitimes évite d’avoir à déployer un malware bruyant : le vol de données s’effectue via des canaux “normaux” (HTTP(S), IMAP) souvent autorisés à travers les pare-feu.

Un autre aspect remarquable est le choix de l’infrastructure d’exfiltration. Plutôt que d’envoyer les données volées vers des serveurs en Russie ou des destinations exotiques immédiatement repérables, l’APT28 a positionné ses serveurs de C2 au plus proche géographiquement de ses cibles.

J’ai pris pour exemple, une victime en Europe de l’Ouest, les données pouvaient être exfiltrées vers un serveur malveillant hébergé sur un nœud Internet européen voisin. En faisant sortir l’information volée vers une destination locale ou régionale, le flux malveillant se fond dans le trafic habituel de l’entreprise (qui communique déjà avec des hébergeurs de la région).

Ce principe de proximité complique la détection par corrélation géographique. Ajoutez à cela le fait que les extractions étaient réalisées à des fréquences espacées (éviter des transferts volumineux quotidiens, privilégier des envois plus rares et planifiés), et vous obtenez une exfiltration furtive sur la durée. En tant que défenseur, j’en retiens qu’il faut surveiller non seulement les sorties vers des pays à risque, mais aussi vers des hébergeurs locaux inhabituels, et prêter attention aux pics de trafic sortant même peu fréquents.

Caméras IP et renseignement visuel sur le terrain

L’aspect le plus inédit de cette campagne réside sans doute dans son extension au domaine physique. Parallèlement aux intrusions IT, le GRU a mené une vaste opération de compromission de caméras IP afin de suivre visuellement les mouvements logistiques liés à l’Ukraine.

Dès mars 2022, les opérateurs de l’unité 26165 ont identifié et ciblé des caméras de surveillance connectées situées à des emplacements clés : postes-frontières vers l’Ukraine, entrepôts, ports, bases militaires, gares ferroviaires, etc.. Ils ont même exploité des services municipaux légitimes de caméras de trafic routier pour compléter le maillage. L’objectif : obtenir en temps quasi réel des images des convois de matériel traversant les frontières et transitant en Europe de l’Est.

Techniquement, le mode opératoire sur les caméras IP rappelle une campagne de balayage massive. Les attaquants ont envoyé des requêtes RTSP spécialement conçues (commande DESCRIBE du protocole de streaming) vers des milliers d’adresses IP supposées héberger des flux vidéo.

Ces requêtes incluaient des identifiants codés en Base64 – souvent les identifiants par défaut des caméras ou des tentatives simples de mots de passe communs – dans le but de s’authentifier sur les flux vidéo.

En clair, là où une caméra n’avait pas été sécurisée ou conservait son mot de passe usine (admin/admin est hélas un grand classique), l’APT28 pouvait en prendre le contrôle à distance et accéder à son flux.

Les résultats de cette campagne de scanning sont impressionnants. Plus de 10 000 caméras ont été identifiées comme cibles potentielles selon l’échantillon analysé par les agences. La grande majorité (81%) de ces tentatives a visé des caméras en Ukraine – logique compte tenu de l’objectif – mais environ 10% visaient la Roumanie, 4% la Pologne, puis la Hongrie, la Slovaquie, etc., reflétant un intérêt pour les routes d’acheminement à travers l’Europe de l’Est.

Lorsqu’une caméra était accessible, la requête RTSP DESCRIBE retournait un instantané de l’image en temps réel ainsi que des métadonnées (résolution, codec vidéo…). On peut imaginer que les opérateurs récupéraient périodiquement ces clichés pour surveiller l’afflux de convois (par exemple, repérer des files de camions militaires entrant en Ukraine).

J’imagine également qu’une fois en possession des accès, ils pouvaient potentiellement obtenir le flux vidéo continu, mais l’alerte ne l’explicite pas. Quoi qu’il en soit, cette surveillance par caméras interposées marque un saut qualitatif dans la collecte de renseignement : en combinant hack cyber et exploitation d’objets connectés physiques, le GRU obtient une vision à 360 degrés des opérations logistiques adverses (documents internes volés d’un côté, observations visuelles de l’autre).

Pour nous, professionnels de la sécurité, c’est un rappel que la frontière entre systèmes d’information et systèmes terrain est de plus en plus floue – nos dispositifs IoT et caméras de sécurité deviennent des cibles de choix dans les conflits hybrides modernes.

En mot de la fin

En tant qu’analyste qui décortique ces menaces, je retiens que la campagne du GRU 85th GTsSS décrite dans l’alerte CISA illustre parfaitement l’ingéniosité et la portée des APT étatiques contemporaines.

Sans nécessairement recourir à des exploits inconnus (Zero-day), ces acteurs combinent intelligemment des techniques connues – du phishing au password spraying, des malwares cachés dans des images aux abus de configurations Exchange/AD – pour atteindre leurs objectifs d’espionnage.

La volonté de surveiller physiquement les convois d’aide via des caméras IP compromises démontre une approche globale, coordonnée, mêlant cyber et terrain, afin d’obtenir un avantage stratégique concret.

En partageant mon analyse de cette alerte, j’espère vous aider à mieux comprendre ces TTP et à reconnaître les signes avant-coureurs de telles intrusions.

Cette affaire nous rappelle enfin l’importance de sécuriser tous les maillons de nos chaînes numériques et physiques – y compris les éléments moins traditionnels comme les caméras, routeurs et autres équipements IoT souvent laissés pour compte. Comme toujours, vigilance et défense en profondeur restent nos meilleures armes face à ce niveau de menace.

Enjoy !

Sources