Campagne de cyberespionnage de l’unité 26165 du GRU (APT28/Fancy Bear)

Cela fait un petit moment que je voulais faire un article de Threat Intelligence sur cet APT qui fait pas mal de bruit depuis l’est de l’Europe continental. Je me suis appuyé sur une trentaine de sources en OSINT ainsi que le rapport de la CISA. L’ensemble des informations contenu dans cet article proviennent de ces sources ouvertes.

Depuis 2022, une campagne soutenue de cyberespionnage est menée par l’unité 26165 du renseignement militaire russe (GRU) – également connue sous les appellations APT28, Fancy Bear, Forest Blizzard ou BlueDelta dans la communauté cybersécurité. Cette unité du 85e Centre de service spécial principal (85th GTsSS) s’est spécialisée dans des opérations de collecte de renseignements à grande échelle, ciblant en priorité les sociétés de logistique et de technologie occidentales impliquées dans l’acheminement de l’aide à l’Ukraine.

Au fur et à mesure que les forces russes peinaient à atteindre leurs objectifs militaires et que l’aide internationale à l’Ukraine s’intensifiait, l’unité 26165 a élargi son ciblage pour inclure de nouveaux types d’organisations liées à ces efforts (transporteurs, fournisseurs IT, etc.).

Cette campagne combine un large éventail de tactiques, techniques et procédures (TTP) déjà observées par le passé, adaptées pour rester efficaces face aux défenses adverses. Les agences gouvernementales américaines et européennes ayant co-publié le rapport CISA AA25-141A mettent en garde que ce mode opératoire devrait se poursuivre à l’avenir, compte tenu du contexte géopolitique persistant.

Les opérations attribuées à l’unité 26165 relèvent principalement de l’espionnage (et non du sabotage), cherchant à obtenir des informations sensibles sur les flux de soutien logistique à l’Ukraine. L’objectif est notamment de surveiller et anticiper les livraisons d’aide occidentale (armes, matériel, etc.), en compromettant les réseaux des acteurs impliqués (ministères, ONG, entreprises de transport, fournisseurs IT).

Le mode opératoire s’inscrit dans la continuité d’actions antérieures attribuées à APT28. Par exemple, l’ANSSI (CERT-FR) avait déjà documenté en 2023 des campagnes d’APT28 ciblant des entités françaises sensibles, et en 2025 une compromise d’organisations nationales via ce même groupe d’intrusion a été rapportée. Ces antécédents soulignent la menace persistante que représente APT28 pour les infrastructures critiques occidentales.

Notons que cette campagne 2022-2025 fait l’objet d’une vaste mobilisation internationale en matière de veille et d’attribution. Le rapport technique qui guide cette analyse est le fruit d’une coopération entre de nombreux centres de cybersécurité nationaux (NSA, FBI, NCSC-UK, ANSSI, etc.) et partenaires du renseignement, illustrant la portée globale de la menace.

L’ensemble des indicateurs et observations provient de ce rapport conjoint (CISA AA25-141A, 21 mai 2025), enrichi de contributions de différentes agences alliées, et est marqué TLP:CLEAR (diffusion libre) afin de faciliter le partage d’information dans la communauté de la cybersécurité.

Cibles visées et mode opératoire

Les secteurs ciblés : La campagne de l’unité 26165 a visé des douzaines d’entités occidentales, aussi bien gouvernementales que privées, couvrant tous les modes de transport (aérien, maritime, ferroviaire) et secteurs connexes. Les domaines suivants ont été particulièrement touchés : le secteur de la défense (industries et ministères liés), les entreprises de transport/logistique (y compris hubs portuaires et aéroports), le secteur maritime, la gestion du trafic aérien, ainsi que les prestataires de services informatiques liés à ces domaines. Fait notable, les acteurs de menace ont démontré une capacité à rebondir chez des partenaires : après avoir compromis une cible primaire, ils identifient des organisations partenaires ou clientes dans la chaîne logistique et les attaquent à leur tour, profitant de la relation de confiance entre ces entités pour élargir l’accès au réseau visé. Cette approche en cascade leur permet d’espionner l’ensemble de l’écosystème logistique associé à l’aide ukrainienne (transporteurs secondaires, fournisseurs, etc.).

Localisation géographie des victimes: Les victimes identifiées se répartissent dans de nombreux pays occidentaux, principalement en Europe. Parmi les États touchés figurent notamment la France, l’Allemagne, l’Italie, la Pologne, la Roumanie, la Grèce, la République tchèque, la Slovaquie, la Bulgarie, la Moldavie, les Pays-Bas, l’Ukraine, ainsi que les États-Unis. Les figures ci-dessous illustrent l’empreinte géographique de la campagne.

l’Objectif est l’espionnage : L’intérêt de l’attaquant s’est porté sur des informations très spécifiques liées aux opérations logistiques. Après s’être introduits dans les réseaux, les acteurs du GRU ont activement recherché et exfiltré des données concernant les expéditions de matériel vers l’Ukraine.

Ils ont ciblé les documents ou bases de données contenant des renseignements tels que : l’expéditeur et le destinataire de cargaisons d’aide, les numéros de vols/trains/navires affrétés, les points de départ et destinations, les itinéraires empruntés, les numéros de conteneurs, et le détail des cargaisons transportées. Ces informations fournissent une visibilité en temps réel sur l’effort logistique occidental, permettant au GRU de suivre le volume et la nature de l’aide militaire ou humanitaire acheminée vers l’Ukraine. On note qu’aucune action de sabotage n’a été rapportée dans ce contexte : l’objectif était avant tout la collecte de renseignement pour guider les décisions stratégiques russes, plutôt que la perturbation active des opérations de transport.

Liens avec la surveillance physique (caméras IP) : Fait marquant, l’unité 26165 a couplé ses compromissions réseaux avec des actions visant des caméras de vidéosurveillance IP situées à des emplacements stratégiques (postes frontières, axes logistiques, infrastructures militaires). Dès mars 2022, une campagne massive de balayage et d’accès aux flux vidéo de caméras a été menée, ciblant en priorité les caméras en Ukraine et dans les pays de l’OTAN frontaliers.

L’objectif était de suivre visuellement le transit des convois d’aide. En exploitant des faiblesses de sécurité (mots de passe par défaut, failles de protocole) sur les serveurs RTSP hébergeant ces caméras, les attaquants pouvaient obtenir des instantanés d’images ou des flux vidéo en direct lorsque la compromission réussissait.

Selon les données collectées par les autorités, plus de 10 000 caméras auraient été ciblées de cette manière, dont la grande majorité (81%) se trouvaient en Ukraine même. Le tableau ci-dessous présente la répartition géographique des caméras IP compromises ou attaquées :

(NB: Ces tentatives d’accès visaient principalement l’obtention d’images ou de flux vidéo via des requêtes RTSP malveillantes, incluant des informations d’authentification par défaut pour tenter de s’authentifier sur les caméras. Voir section dédiée plus loin sur les caméras IP.)

Cette campagne d’APT28 illustre une approche multi-vectorielle : infiltration des réseaux informatiques des acteurs logistiques pour voler des données sensibles, combinée à de la surveillance vidéo opportuniste afin de recouper les informations et suivre physiquement les mouvements de matériel.

La suite de ce document détaille les techniques d’attaque employées à chaque étape (initialisation, intrusion, propagation, persistance, exfiltration), les outils et malwares utilisés par les assaillants, les indicateurs de compromission relevés, ainsi que les mesures de défense recommandées pour se prémunir de ce type de menace.

Techniques d’accès initial (Initial Access)

Pour pénétrer les réseaux de leurs cibles, les opérateurs d’APT28 (unité 26165) ont mis en œuvre plusieurs vecteurs d’intrusion en parallèle, souvent en les combinant. Les principales techniques initiales observées incluent notamment :

• Attaques par mots de passe (brute force / password spraying) – essais automatisés de combinaisons login/mot de passe sur des comptes en ligne de l’organisation cible.
• Campagnes de spear-phishing – envoi d’e-mails piégés soigneusement ciblés, soit pour voler des identifiants (via de fausses pages de connexion), soit pour déployer un malware sur le poste victime (pièce jointe ou lien malveillant).
• Exploitation de vulnérabilités connues – ciblage d’applications exposées (serveurs email, VPN, etc.) via des failles non corrigées, notamment : une faille Outlook révélée en 2023 permettant de voler des hash NTLM à distance, des failles du webmail Roundcube (2020-2021) pour exécuter du code sur les serveurs de messagerie, et une faille du logiciel WinRAR (2023) pour piéger les utilisateurs ouvrant une archive piégée.
• Autres vecteurs – compromission de routeurs et équipements SOHO (petits routeurs de bureau) pour s’en servir de proxy à proximité des cibles, ainsi qu’au moins un cas de vishing (hameçonnage vocal) où l’attaquant a appelé un employé en se faisant passer pour le support informatique afin d’obtenir ses identifiants.

Chacun de ces points est détaillé ci-après.

Attaques par force brute et « password spraying »

L’unité 26165 a mené de vastes campagnes d’authentification par force brute sur les services en ligne de ses cibles (messageries électroniques, VPN d’entreprise, etc.). Typiquement, cette technique consiste à tester des milliers de mots de passe communs ou issus de fuites, sur un grand nombre de comptes, jusqu’à éventuellement en trouver un valable.

D’après les observations, APT28 avait déjà conduit une campagne mondiale de ce type en 2019-2021. La version 2022-2023 réutilise une infrastructure technique similaire : les assaillants passent par des nœuds d’anonymisation comme le réseau Tor et des VPN commerciaux pour lancer les tentatives, ce qui masque leur origine réelle. Ils changent fréquemment d’adresse IP d’origine pour éviter la détection ou le blocage, et chiffrent systématiquement le trafic (TLS) afin de le rendre illisible par d’éventuels systèmes de détection réseau. Ces précautions compliquent énormément la tâche des défenseurs, qui doivent distinguer ces attaques dans un flot de connexions apparemment bénignes provenant de multiples pays.

Un exemple que j’ai retenu d’activité suspecte associée à ces attaques est la présence dans les journaux d’authentification de centaines de tentatives échouées par minute sur des comptes, émanant de multiples adresses IP internationales.

APT28 a exploité des équipements compromis proches des cibles (routeurs Internet de petite taille) afin de dissimuler ses attaques parmi du trafic local. En utilisant ces relais situés dans le même pays (voire la même ville) que la victime, les attaquants contournent certaines mesures basiques comme le blocage des adresses étrangères ou la détection par géolocalisation.

Campagnes de spear-phishing

En parallèle, l’unité 26165 a déployé des vagues d’hameçonnage ciblé par courriel (spear-phishing) pour voler des identifiants et infecter les machines. Les courriels frauduleux étaient envoyés individuellement à des personnes soigneusement choisies (souvent dans la langue native de la cible), avec un texte d’accroche adapté (contexte professionnel, parfois même des thèmes adultes pour attirer l’attention).

Afin d’augmenter leurs chances de succès et de ne pas être bloqués par les filtres, les attaquants ont souvent émis ces e-mails depuis des adresses légitimes compromises ou via des services de messagerie gratuits bien établis. Par exemple, des comptes mail légitimes appartenant à d’autres victimes antérieures ou à des partenaires ont pu servir d’expéditeurs, tout comme des adresses sur des domaines génériques (type @gmail.com, @yahoo.com). Une liste non exhaustive de fournisseurs de webmail abusés par APT28 inclut portugalmail.pt, mail-online.dk, email.cz, seznam.cz, etc..

Phishing par vol d’identifiants : nombre de ces e-mails contenaient un lien URL engageant la cible à « vérifier un document » ou « confirmer un compte ». En réalité, le lien redirigeait vers une fausse page de connexion imitant le site d’une organisation connue (ministère, service de messagerie cloud type Office 365, etc.). Les pages web d’hameçonnage étaient hébergées soit sur des services en ligne gratuits (sites de partage de fichiers, générateurs de formulaires, etc.), soit sur des équipements compromis (par ex. routeur ou caméra IP détournée) pour paraître géographiquement proches de la cible.

Les kits de phishing utilisés par APT28 étaient relativement sophistiqués : dans certains cas, ils incluaient des mécanismes multi-étapes de redirection qui ne délivraient la page de capture de mot de passe que si la victime remplissait certaines conditions. Concrètement, le site malveillant vérifiait l’adresse IP du visiteur et son empreinte navigateur pour confirmer qu’il s’agissait bien de la cible visée et non d’un chercheur en sécurité ou d’un robot d’analyse. Si le contrôle échouait (IP hors du pays attendu, etc.), la victime était renvoyée vers un site inoffensif (par ex. page MSN actualités).

il faut retenir que si la cible était valable, la page de phishing pouvait éventuellement afficher une demande de code MFA ou un captcha, que l’attaquant relayait en temps réel, afin de passer outre l’authentification à multi-facteurs. Plusieurs services tiers d’« ordre de marche » (redirectors) ont été identifiés dans ces mécanismes de redirection : Webhook.site, Frge.io, InfinityFree, Dynu, Mocky, Pipedream, Mockbin.org, etc. ont été mis à contribution pour gérer les transitions et filtrages. Ce genre de technique de phishing ciblé à géorestriction est très efficace pour se camoufler des observateurs non visés.

Phishing par malwares (pièces jointes) : dans d’autres cas, les courriels frauduleux servaient à déployer un malware sur la machine de la victime. APT28 a notamment distribué deux programmes malveillants appelés HEADLACE et MASEPIE via des e-mails piégés. Les vecteurs d’infection variaient : soit une pièce jointe exécutable camouflée (par exemple un fichier archive ou un document contenant une macro), soit un lien dans le message qui, si cliqué, téléchargeait une charge utile sur un service en ligne compromis ou légitime.

Il arrive dans certain cas que les malwares étaient dissimulés sous forme de scripts (fichiers Batch .bat, scripts Visual Basic .vbs, etc.) afin de ne pas éveiller de soupçons. APT28 a même utilisé des raccourcis Windows malicieux (.lnk) pointant vers du code hébergé en ligne, technique astucieuse permettant l’exécution indirecte de code à l’ouverture du raccourci. Ces e-mails avec malware en pièce jointe pouvaient prendre l’apparence de documents légitimes liés aux activités de la cible (par ex. faux planning, note de service, etc.) pour inciter à l’ouverture.

Enfin, un scénario particulier a été observé pour cibler un compte privilégié : un opérateur a recours au « vishing » (appel téléphonique frauduleux). Se faisant passer par un agent du support technique, il a contacté un administrateur d’une organisation cible, prétextant une urgence de sécurité, afin de l’amener à révéler son mot de passe ou à accepter une connexion à distance. Cette approche directe par téléphone, moins courante, démontre l’ingéniosité et l’audace de l’attaquant pour contourner les protections purement techniques. Elle s’inscrit dans la tactique de spear-phishing vocal (référencée T1566.004 dans ATT&CK) et vise à exploiter la confiance humaine plutôt qu’une faille logicielle.

Exploitation de vulnérabilités et failles Zero-day

En complément des méthodes d’ingénierie sociale, l’unité 26165 a activement exploité plusieurs vulnérabilités connues dans les systèmes exposés de ses cibles. Parmi les plus significatives :

• Vulnérabilité Microsoft Outlook (CVE-2023-23397) : une faille critique révélée en 2023 permettant à un attaquant d’obtenir le hachage NTLM du mot de passe d’un utilisateur Windows distant, simplement en lui envoyant une invitation de calendrier piégée. APT28 a intégré cette technique à son arsenal : en expédiant des invitations Outlook spécialement formatées, ils forçaient le client Outlook de la victime à tenter d’accéder à une ressource UNC sous leur contrôle, divulguant ainsi les identifiants NTLM de l’utilisateur. Cette attaque sans interaction utilisateur a été massivement utilisée au début 2023 pour compromettre des comptes internes. Des adresses e-mail d’expéditeurs malveillants ont été identifiées dans ce contexte, telles que :
• Vulnérabilités du webmail Roundcube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026) : APT28 a profité de failles dans ce logiciel de messagerie open source, largement utilisé dans certaines organisations, pour exécuter des commandes système sur les serveurs de messagerie non à jour. L’exploitation de ces CVE leur a permis de prendre le contrôle de comptes e-mail et de lire/copier le contenu de boîtes aux lettres hébergées sur ces serveurs. En pratique, après exploitation, les attaquants pouvaient accéder aux webmails des utilisateurs et extraire les messages d’intérêt (par exemple, des échanges concernant la logistique militaire).
• Vulnérabilité WinRAR (CVE-2023-38831) : Découverte à l’été 2023, cette faille du célèbre utilitaire d’archive WinRAR permet l’exécution de code arbitraire lors de l’ouverture d’une archive piégée. L’unité 26165 a rapidement adopté cette technique comme vecteur d’accès initial supplémentaire. Des emails d’hameçonnage ont été envoyés avec en pièce jointe une archive ZIP malveillante, ou contenant un lien vers une telle archive hébergée en ligne. Si la cible ouvrait l’archive avec une version vulnérable de WinRAR, du code malicieux s’exécutait à son insu, installant une porte dérobée sur la machine. Plusieurs noms de fichiers d’archives utilisés dans ces attaques ont été relevés, par exemple :

En plus de ces failles majeures, les opérateurs d’APT28 ont exploité toutes portes d’entrée exposées à leur disposition. Des applications web vulnérables accessibles sur Internet (par exemple des portails web d’entreprise non patchés, ou des bases de données accessibles via injection SQL) ont été compromises pour prendre pied dans les systèmes. De même, les VPN et accès à distance mal sécurisés ont été ciblés : une fois des identifiants obtenus (par force brute ou phishing), les assaillants les ont utilisés pour se connecter via VPN aux réseaux internes.

Il apparait que parfois, l’exploitation initiale n’a pas immédiatement abouti à une compromission profonde : par exemple, APT28 a effectué une reconnaissance sur un fabricant de composants ICS ferroviaires (système de contrôle industriel lié au rail), sans qu’une intrusion complète ne soit confirmée par la suite.

Ceci nous montre que l’adversaire cherche à récolter un maximum d’accès potentiels, quitte à ne pas tous les activer immédiatement, créant ainsi une réserve d’entrées pour de futures opérations.

Activités post-compromission (actions une fois à l’intérieur)

Après avoir obtenu un accès initial (compte compromis, point d’entrée sur un serveur, etc.), l’attaquant déploie une série de techniques pour pérenniser sa présence, élargir son contrôle du système, et collecter les données d’intérêt. L’analyse des incidents par les différents CERTs a permis de reconstituer ces étapes post-compromission, que l’on peut résumer ainsi : reconnaissance interne, mouvement latéral vers des machines sensibles, escalade de privilèges jusqu’à atteindre les contrôleurs de domaine et serveurs de messagerie, mise en place de persistance, puis exfiltration discrète des informations récoltées. Les sections suivantes détaillent ces volets.

La reconnaissance interne du réseau

Une fois à l’intérieur du réseau d’une organisation, les opérateurs d’APT28 commencent par cartographier l’environnement et identifier les cibles internes prioritaires. Ils cherchent notamment à obtenir des informations sur :

• Les personnes et comptes d’intérêt : en premier lieu, les attaquants extraient des listes de contacts et d’utilisateurs, afin de repérer les individus occupant des postes clés. Par exemple, des comptes appartenant à des responsables de la logistique des transports, ou au personnel de sécurité informatique interne, ont été spécifiquement visés. L’objectif est double : d’une part, obtenir des adresses e-mail de nouvelles cibles potentielles (pour lancer des attaques de phishing internes), et d’autre part identifier les gardiens du système (équipe SOC, administrateurs) pour éviter de déclencher leurs alertes trop tôt.
• La structure de l’organisation : l’APT28 mène des recherches sur les relations inter-entreprises. Si l’entité compromise collabore avec d’autres entreprises de transport ou fournisseurs, ces partenaires deviennent des cibles secondaires. Les attaquants consultent les documents internes, intranets, annuaires et e-mails pour repérer les sociétés tierces ayant des connexions de confiance avec la victime. Ces informations nourrissent ensuite de nouvelles tentatives de compromission (effet domino évoqué précédemment).
• L’architecture technique : les attaquants énumèrent les machines, serveurs et services présents sur le réseau local. Ils peuvent utiliser des outils natifs (commande arp -a pour voir les IP connectées, net view pour lister les ressources partagées, etc.) afin d’identifier les serveurs critiques (contrôleur de domaine Active Directory, serveurs de fichiers, serveurs mail, etc.). Dans un cas, ils ont par exemple identifié la présence d’un contrôleur de domaine Active Directory et d’un serveur Exchange on-premise, qui sont devenus leurs cibles privilégiées par la suite.

Cette phase de reconnaissance interne est discrète, utilisant au maximum des commandes légitimes (voir plus loin la section “Utilitaires légitimes détournés”) pour passer sous le radar. Par exemple, exécuter une simple commande whoami ou hostname sur un système compromis est tout à fait anodin mais permet à l’attaquant de savoir sur quel type de machine il se trouve.

De même, la consultation de l’annuaire interne (Active Directory) via des scripts LDAP ou des outils comme AdExplorer fournit en quelques secondes la liste des comptes utilisateurs et des postes associés – une mine d’or pour planifier la suite de l’attaque.

Mouvement latéral et escalade de privilèges

Une fois armé de ces informations, APT28 va chercher à étendre son contrôle à d’autres machines du réseau, en ciblant en priorité celles qui détiennent les données recherchées ou qui ouvrent l’accès à ces données. Typiquement, cela inclut les postes des cadres impliqués dans la logistique (où sont stockés les plans de transport, emails sensibles, etc.), les serveurs de messagerie (contenant les échanges internes sur les sujets d’intérêt), et les contrôleurs de domaine (AD) qui permettent in fine de compromettre tout le SI.

Plusieurs outils et techniques de mouvements latéraux ont été utilisés :

• Impacket & PsExec : Impacket est un ensemble d’outils open source en Python permettant d’automatiser des actions sur le réseau Windows (exécution de commandes à distance, dumping de credentiels, etc.). Les attaquants ont employé des scripts Impacket, parfois convertis en exécutables Windows, pour se déplacer de machine en machine. En particulier, l’outil PsExec de Microsoft (ou son équivalent Impacket) a servi à exécuter du code sur des machines distantes via SMB. L’usage de PsExec laisse des traces caractéristiques (création d’un service nommé PSEXESVC sur la cible) qui ont pu être observées a posteriori. (Des règles YARA génériques existent d’ailleurs pour détecter l’exécution de PsExec, en repérant des chaînes de texte spécifiques de l’outil.)
• Remote Desktop Protocol (RDP) : APT28 a également utilisé des accès RDP aux postes internes. Après avoir compromis ou créé des comptes avec privilèges d’administration locale, ils se connectaient en bureau à distance sur ces systèmes. Ceci leur permet d’avoir une mainmise interactive sur la machine comme s’ils étaient un utilisateur légitime, et d’y lancer des actions manuellement (copie de fichiers, installation d’outils, etc.). Le RDP a servi par exemple à accéder aux serveurs contenant les bases de données logistiques ou aux stations de travail des responsables, dès lors qu’ils avaient obtenu les identifiants nécessaires.
• Dump du contrôleur de domaine : l’un des objectifs critiques pour l’attaquant est d’obtenir les identifiants de l’ensemble des comptes du domaine. Pour cela, APT28 a cherché à extraire la base de données Active Directory (fichier NTDS.dit) sur le contrôleur de domaine Windows. Ils ont utilisé des outils natifs : par exemple, la commande Windows ntdsutil avec l’option Install From Media (IFM) permet de créer une copie de la base AD. Les logs ont révélé l’exécution de commandes telles que :
• Vol de données d’authentification : en parallèle du dump NTDS, APT28 a déployé des outils pour collecter d’autres informations d’identification stockées dans le système. Par exemple, ils ont installé l’interpréteur Python sur certaines machines compromises afin d’exécuter l’outil open source Certipy. Certipy permet d’énumérer et d’abuser des services de certificats Active Directory ; il peut notamment aider à obtenir des certificats d’authentification si ceux-ci sont mal configurés, ouvrant ainsi une autre voie d’accès. Ils ont également utilisé un script custom dérivé de ldapdomaindump.py (Impacket) pour énumérer les utilisateurs et groupes AD avec plus de détails. Un script Get-GPPPassword.py a été exécuté pour rechercher dans les Group Policy Preferences d’éventuels mots de passe en clair (une ancienne vulnérabilité GPP permettait de stocker des mots de passe chiffrés de manière réversible – si l’organisation n’a pas purgé ces entrées, l’attaquant peut les récupérer). Dans au moins un cas, ils ont pu extraire un mot de passe de compte à partir des stratégies de groupe, ce qui leur a donné un accès supplémentaire à un compte privilégié.

Toutes ces actions démontrent une montée en puissance progressive de l’attaquant dans le SI victime. En quelques heures, partant d’un simple compte compromis via phishing, l’APT28 est capable de devenir administrateur du domaine et de contrôler une large part du réseau. Un rapport du CERT-UA a notamment décrit un cas extrême où, en moins d’une heure, APT28 est passé d’une intrusion initiale à la création de faux contrôleurs de domaine, montrant son degré d’automatisation et d’efficacité élevé.

Persistance et contournement des défenses

Afin d’assurer une présence durable sur les systèmes compromis, l’unité 26165 met en place plusieurs mécanismes de persistance, tout en déployant des techniques pour rester indétectée le plus longtemps possible.

Persistance sur les postes et serveurs : – Abus des permissions de boîtes mail Exchange – Sur les environnements disposant d’un serveur Microsoft Exchange (messagerie d’entreprise), l’attaquant a souvent configuré des accès persistants aux boîtes de messagerie via les délégations de mail. Concrètement, après compromission d’un compte utilisateur, il attribuait à un de ses comptes contrôlés (ou à une boîte aux lettres secrète) des droits de lecture sur la boîte mail de la victime. Ainsi, même si le mot de passe du compte compromis est changé plus tard, l’attaquant peut continuer à lire en copie tous les emails reçus/envoyés par la victime (fonctionnalité de délégation). Cette technique de persistance « silencieuse » sur les emails a été observée notamment dans des organismes logistiques en Pologne, selon un rapport du Cyber Command polonais. Par ailleurs, les attaquants ont pris soin d’inscrire les comptes compromis à l’authentification multi-facteur (MFA) de l’organisation si possible, afin de rendre leur accès plus légitime aux yeux des administrateurs. Paradoxalement, en ajoutant un MFA (par exemple via une application d’authentification ou un token) sur un compte qu’ils contrôlent déjà, ils diminuent la suspicion (puisque l’accès avec MFA est vu comme plus sûr) et se protègent contre une réinitialisation de mot de passe non accompagnée d’une révocation du facteur secondaire.

– Tâches planifiées et registres de démarrage – Sur les postes compromis, APT28 a créé des tâches planifiées malveillantes qui exécutent leurs charges utiles à intervalle régulier ou au démarrage. Ils ont également utilisé la technique du Run key dans le registre Windows, en ajoutant des entrées sous HKLM\Software\Microsoft\Windows\CurrentVersion\Run pour lancer discrètement un binaire malveillant à chaque ouverture de session. Enfin, l’ajout de raccourcis dans le dossier Startup a été constaté : un fichier .lnk pointant vers leur malware HEADLACE a été placé dans le répertoire de démarrage, assurant que le backdoor se lance automatiquement à chaque reboot de la machine. Ces techniques de persistance sont standards mais efficaces, et nécessitent une analyse minutieuse des configurations système pour être repérées après coup.

Dissimulation et évasion : – Nettoyage des logs – Afin d’effacer leurs traces, les opérateurs d’APT28 ont supprimé des journaux d’événements système. L’utilisation de l’outil Windows wevtutil a été notée, probablement pour purger les logs d’événements de sécurité ou d’accès distant une fois leurs actions réalisées. Par exemple, ils peuvent exécuter wevtutil cl Security pour nettoyer complètement le journal « Sécurité ». Cela rend l’analyse forensic plus difficile, en privant les investigateurs d’indices (heures de connexion, erreurs d’authentification, etc.). La suppression soudaine d’un log entier est en soi un indicateur de compromission, et devrait être alertée en temps réel dans les SOC bien configurés.

– Utilisation de canaux chiffrés et légitimes – L’exfiltration des données et le trafic de commande & contrôle se sont effectués via des protocoles chiffrés standard, rendant la détection par analyse réseau délicate. Comme mentionné, le trafic des attaques par force brute était en TLS, de même les commandes passées aux malwares ou outils étaient souvent sur des canaux chiffrés (ex : utilisation d’HTTPS, de VPN, de SSH…). Par ailleurs, les attaquants privilégient l’utilisation de protocoles légitimes du système pour communiquer. Par exemple, pour aspirer les e-mails, ils se sont servis de Exchange Web Services (EWS) et d’IMAP – deux protocoles normalement utilisés par les clients mail officiels. En exécutant à intervalle régulier des requêtes EWS sur le serveur Exchange (via un script) pour récupérer les nouveaux mails depuis la dernière collecte, ils passent aisément sous le radar des IDS, car ces actions ressemblent à du trafic normal d’un client Outlook ou d’une appli mobile. De plus, ils ont souvent hébergé leur serveur de C2 (commande et contrôle) sur des infrastructures situées dans le même pays que la victime. Ainsi, les flux de données exfiltrées (mails, fichiers zippés) semblent aller vers une IP locale ou nationale, ce qui éveille moins les soupçons qu’un envoi massif vers la Russie. Cette proximité géographique et ces longues périodes d’inactivité (parfois des « dormances » de plusieurs semaines entre deux exfiltrations) ont permis aux attaquants de collecter des données pendant de longs mois sans alerte.

En combinant ces techniques de persistance et d’évasion, l’APT28 a pu maintenir un accès clandestin prolongé dans certains réseaux compromis, continuant à siphonner des informations stratégiques tout en adaptant ses tactiques pour ne pas se faire déloger.

Collecte et exfiltration des données

Après avoir pris le contrôle des éléments clés du SI, l’unité 26165 passe à la phase de collecte massive de données puis d’exfiltration vers ses propres serveurs.

Collecte locale : sur chaque hôte compromis présentant de l’information intéressante, les attaquants rassemblent les fichiers, emails ou bases de données qu’ils veulent exfiltrer. Ils utilisent pour cela des commandes et scripts, souvent via PowerShell, pour rechercher des documents (par exemple tous les fichiers Excel contenant des mots-clés comme « manifest » ou « schedule »), ou pour exporter des boîtes mail au format PST. Avant exfiltration, les données sont presque toujours compressées et archivées afin de réduire la taille et faciliter le transfert. On a observé l’utilisation de PowerShell Compress-Archive ou de la commande tar sur Windows 10, pour créer des fichiers ZIP contenant les documents ciblés. Les archives ainsi constituées sont placées dans des répertoires temporaires (ex: C:\Temp\archive.zip) en vue de leur extraction.

Exfiltration réseau : plusieurs canaux d’exfiltration ont été identifiés :

• Via les serveurs de messagerie : comme mentionné, les attaquants ont configuré des accès persistants aux boîtes mail et ont utilisé des requêtes EWS/IMAP pour télécharger périodiquement tous les nouveaux emails. En programmant des extractions incrémentales (par exemple toutes les nuits ou semaines), ils ont pu récupérer discrètement l’intégralité des communications d’intérêt sur la période de leur présence. Le trafic IMAP/EWS étant chiffré et courant, il passe généralement inaperçu.
• Via un SSH externe : dans certains cas, l’APT28 a installé sa propre instance d’OpenSSH sur une machine compromise (typiquement un serveur Windows). En ouvrant une session SSH sortante vers leur serveur, ils disposaient d’un tunnel chiffré pour faire transiter les archives de données hors du réseau (technique d’« exfiltration via protocole alternatif »). Ceci a été repéré notamment par la présence d’un exécutable OpenSSH inhabituel sur le système et de connexions sur le port 22 vers une IP non autorisée.
• Via des services web tiers : étant donné qu’ils contrôlaient parfois des routeurs ou caméras externes, il est possible qu’ils aient aussi exfiltré certaines données en les transférant sur ces équipements relais puis en les récupérant plus tard. Le rapport CISA note en particulier l’usage fréquent de services d’hébergement ou d’API en ligne par APT28 (voir IoCs réseau plus loin), ce qui laisse penser qu’ils peuvent envoyer les données volées sur des stockages temporaires en ligne (type cloud anonyme) avant de les rapatrier.

Vol de contenus spécifiques : outre les documents logistiques évoqués, une cible prioritaire des attaquants était les listes d’utilisateurs Office 365 et d’emails. En effet, peu après l’intrusion, ils cherchent à obtenir la liste de tous les comptes O365 de l’organisation, soit via PowerShell (cmdlet Azure AD), soit via l’AD on-premise, afin d’identifier les boîtes aux lettres à espionner. Ils ont aussi cherché à collecter les carnets d’adresses et listes de distribution (ce qui recoupe la phase de reconnaissance, pour préparer de futurs phishing internes).

Un incident a montré que les opérateurs n’hésitent pas à extraire des bases de données entières si elles contiennent de l’information utile. Par exemple, une base SQL interne contenant des détails sur les expéditions (horaires de train, listes de cargaisons) a été copiée en totalité, compressée et exfiltrée. De plus, lorsqu’ils compromettent une machine, ils en profitent pour voler tout ce qui pourrait leur servir plus tard : les cookies de navigateurs web, les clés de sessions VPN, les listes de mots de passe enregistrés (via des scripts de récupération de mots de passe dans les navigateurs). Cela leur permet potentiellement de rebondir même si un accès est coupé (en utilisant un cookie de session valide, par ex.). Un malware de leur arsenal, STEELHOOK, vise justement à extraire les identifiants stockés dans les navigateurs Chrome/Edge en récupérant la clé d’encryption locale et les bases de données de mots de passe. Bien que STEELHOOK n’ait pas été observé directement sur des cibles logistiques dans ce rapport, sa présence dans leur panoplie suggère qu’ils pourraient l’employer en cas de besoin.

Discrétion temporelle : les attaquants ont fait preuve de patience dans l’exfiltration. Plutôt que de tout envoyer d’un coup (ce qui pourrait saturer le réseau ou être détecté), ils ont échelonné les transferts sur le temps, utilisant des fenêtres horaires non surveillées (nuit, week-end) et modulant le débit. Certains “channel checks” ont montré qu’entre deux exfiltrations, il pouvait s’écouler plusieurs semaines de silence. Cette approche intermittente rend la détection plus ardue car l’activité malveillante se fond dans la masse du trafic légitime sur la durée.

Connexions aux caméras IP et surveillance physique

En plus des intrusions informatiques décrites ci-dessus, l’unité 26165 a conduit une opération parallèle visant les systèmes de vidéosurveillance connectés. L’objectif apparent était d’obtenir des vues en direct des points de passage stratégiques pour le transit de l’aide à l’Ukraine, afin de compléter les informations volées par des observations visuelles (par exemple, confirmer le départ d’un convoi, estimer sa cargaison par l’image, etc.).

Les attaquants ont ciblé spécifiquement les serveurs RTSP (Real Time Streaming Protocol) hébergeant des flux de caméras IP, notamment aux frontières ukrainiennes et dans certaines installations militaires ou logistiques sensibles. Leur approche consistait à envoyer des requêtes RTSP de type DESCRIBE vers l’adresse IP publique de ces caméras ou de leurs routeurs d’accès, en incluant des informations d’authentification dans la requête. En RTSP, la requête DESCRIBE sert à obtenir la description du média (paramètres du flux vidéo). Les requêtes malveillantes interceptées contenaient un en-tête Authorization avec soit un Basic Auth (base64 login:pass), soit un Digest Auth (MD5) tentant de s’authentifier en tant qu’administrateur. Par exemple, une requête typique était :

DESCRIBE rtsp://<IP_CAMERA> RTSP/1.0  
CSeq: 1  
Authorization: Basic YWRtaW46MTEK  
User-Agent: WebClient  
Accept: application/sdp 

(Dans cet exemple, le champ Authorization Basic “YWRtaW46MTEK” correspond à l’encodage Base64 de admin:11, une paire login:mot de passe par défaut connue sur certains modèles de caméras.)

L’assaillant a compilé des listes de combinaisons d’identifiants par défaut et de mots de passe courants pour tenter un accès automatisé aux flux. La présence d’une telle chaîne codée en Base64 dans le trafic réseau est un indicateur flagrant de scan malveillant de caméras. De plus, il a été constaté que les requêtes RTSP provenaient d’adresses IP elles-mêmes compromises (par ex. des routeurs ou IoT détournés) situées à proximité du réseau des caméras ciblées. Autrement dit, APT28 utilisait déjà un point d’appui local (un routeur hacké dans la même infrastructure) pour envoyer la requête, ce qui lui permettait peut-être de franchir des barrières NAT ou firewall local et atteindre la caméra sur son réseau interne. Cette technique astucieuse contourne les restrictions réseaux en se présentant comme un trafic légitime local.

Lorsque l’authentification à la caméra réussissait (par ex. si la caméra conservait le mot de passe “admin” par défaut), la réponse RTSP retournait un flux vidéo ou au moins une image instantanée de la caméra. Ces images contenaient des métadonnées (codec, résolution, etc.) qui ont été analysées par les chercheurs pour identifier la marque et le modèle des caméras compromises. Avec un échantillon de 10 000 requêtes malveillantes collectées, il a été établi que 81% visaient des caméras en Ukraine même, le reste étant dirigé vers les pays frontaliers (Roumanie ~10%, Pologne ~4%, Hongrie ~3%, Slovaquie ~2%, etc.) – voir tableau précédent. Cela correspond évidemment aux itinéraires probables d’acheminement de l’aide.

Les attaquants ont également abusé de services publics de caméras lorsque disponibles : par exemple, l’usage de flux de caméras de trafic routier municipales pour surveiller les axes majeurs est évoqué. Ces sources ouvertes, combinées aux flux privés piratés, pouvaient donner une vision relativement précise du mouvement des convois.

Cette composante « terrain » de la campagne montre la volonté d’APT28 de multiplier les sources de renseignement. En synchronisant les données réseaux (documents d’expédition, emails) avec des observations vidéo en temps réel, le GRU pouvait potentiellement vérifier l’exactitude des informations (par ex. comparer la liste de cargaison prévue avec ce qui est physiquement observable) et détecter des opérations clandestines d’armes ou de matériel sensible. Pour les défenseurs, cela élargit le périmètre de vigilance : au-delà des serveurs informatiques, il faut aussi considérer la sécurité des systèmes vidéo et IoT connectés dans l’environnement.

Outils, malwares et infrastructures de l’adversaire

L’unité 26165 dispose d’un éventail d’outils informatiques variés, mêlant des logiciels malveillants développés sur mesure et des outils légitimes détournés à des fins malveillantes (techniques de Living off the Land). Voici un tour d’horizon des principaux éléments identifiés dans cette campagne :

Malwares développés par APT28

Plusieurs malwares personnalisés ont été utilisés par APT28 pour cette campagne d’espionnage, à différentes étapes (initialisation, persistance, exfiltration) :

• HEADLACE – il s’agit d’un cheval de Troie d’accès à distance (RAT) récemment attribué à APT28. IBM X-Force a documenté en 2023 une campagne où HEADLACE était distribué via des leurres liés au conflit israélo-palestinien, montrant qu’APT28 l’utilise dans divers contextes géopolitiques. Dans la présente campagne, HEADLACE a été déployé sur des cibles du secteur logistique. Concrètement, HEADLACE se propage souvent via un fichier raccourci (.url) pointant vers un script malveillant en ligne, qui lance le navigateur Edge en mode « headless » (invisible) pour exécuter des commandes sur la machine. Il sert de porte dérobée initiale permettant à l’attaquant d’exécuter des instructions à distance et d’installer d’autres charges utiles.
• MASEPIE – ce malware est décrit comme un implant écrit en Python, utilisé également pour le contrôle à distance des machines compromises. Son nom provient d’un identifiant trouvé dans le script. Dans la campagne en question, MASEPIE a été observé aux côtés de HEADLACE, suggérant qu’il pouvait être déployé en seconde phase sur certaines machines. Une règle YARA indiquée par CISA montre que MASEPIE contient des chaînes de commande spécifiques (ex: utilisation de os.popen(‘whoami’), fonctions send_file/get_file, etc.) qui le distinguent. Il pourrait s’agir d’un outil de transfert de fichiers et d’exécution de commandes arbitraires via des communications chiffrées (la règle YARA cherche par exemple la chaîne « Bad command!’.encode(‘ascii' » qui suggère une réponse renvoyée si une commande inconnue est reçue).
• OCEANMAP & STEELHOOK – ces deux noms désignent d’autres malwares attribués à APT28. Bien qu’ils n’aient pas été directement observés dans les intrusions sur le secteur logistique, ils ont été utilisés contre d’autres cibles occidentales et ukrainiennes en 2022-2023. OCEANMAP serait un outil d’exfiltration de données, tandis que STEELHOOK (PowerShell) est spécialisé dans le vol de données d’identification (mots de passe navigateur notamment). Leur présence dans l’arsenal suggère qu’APT28 pourrait les déployer si le besoin s’en fait sentir (par exemple, STEELHOOK pourrait être utilisé si l’accent était mis sur la collecte de credentials locaux).

Ces malwares montrent une certaine modularité de l’arsenal APT28 : HEADLACE pour l’initialisation, MASEPIE pour les commandes persistantes, STEELHOOK pour l’exfiltration de credentials, etc. Ils utilisent souvent des techniques de furtivité avancées, par exemple le hijacking de l’ordre de recherche de DLL (DLL search order hijacking) pour se charger à la place de DLL légitimes. Cette technique consiste à placer une DLL malveillante portant le même nom qu’une DLL système dans un répertoire prioritaire, de sorte que Windows la charge à la place de la vraie – permettant ainsi l’exécution du code de la DLL malveillante (le malware) de façon indétectable par l’utilisateur.

Outils open-source et utilitaires légitimes détournés

APT28 est connu pour sa propension à utiliser des outils disponibles publiquement ou des fonctionnalités normales des systèmes pour accomplir ses fins, plutôt que de recourir uniquement à du malware compilé. Ceci rend la détection plus ardue (puisque l’activité peut sembler légitime). Dans cette campagne, on note l’usage des outils suivants :

• Impacket – (mentionné plus haut) collection d’outils Python pour manipuler les protocoles réseau Windows. Ex : wmiexec.py (exécution de commande via WMI), atexec.py (via Planificateur), secretsdump.py (dump de hash AD), etc. Largement employé pour la phase post-compromission.
• Mimikatz – bien que non explicitement mentionné dans le rapport CISA, il est souvent utilisé par APT28 pour voler les identifiants en mémoire. Son usage serait logique après compromission d’un serveur pour récupérer d’autres comptes.
• PsExec – utilitaire Microsoft Sysinternals pour exécuter des processus à distance. APT28 l’a utilisé pour pivoter latéralement. Une règle YARA dans le rapport vise spécifiquement à détecter PsExec en mémoire en recherchant des chaînes comme « PSEXESVC » et « Copying %s to %s… ».
• ADExplorer – outil graphique Microsoft pour explorer l’Active Directory. L’attaque en a fait usage (ou du moins l’a déployé sur les systèmes compromis) pour extraire l’annuaire AD de façon légitime. ADExplorer permet par exemple d’exporter en une fois toutes les informations AD (comptes, groupes, structure OU) pour analyse hors ligne.
• Certipy – outil open-source (Python) pour auditer et exploiter les services de certification Active Directory (AD CS). APT28 l’a installé sur certaines machines (après avoir ajouté Python) afin d’essayer d’obtenir des certificats d’authentification abusifs ou d’exploiter des templates vulnérables.
• OpenSSH & ssh – la présence de l’exécutable OpenSSH (version Windows) a été notée. APT28 s’en est servi pour ouvrir des tunnels sécurisés sortants (voir exfiltration). L’outil ssh.exe de Windows a également pu être utilisé pour établir des “reverse shells” ou des connexions furtives. Par exemple, la commande ssh -Nf -L <port>:<cible>:<port> user@host crée un tunnel chiffré sans ouvrir de shell (-Nf). Ce genre de commande a été repéré et est un indicateur suspect s’il apparaît sur un serveur qui normalement ne fait pas de SSH.
• Outils de sysadmin Windows courants – Les attaquants ont abusé de nombreux utilitaires intégrés à Windows (Living-off-the-land binaries), en les exécutant manuellement ou via des scripts, pour éviter d’introduire du code malveillant détectable. Voici une liste (non exhaustive) des utilitaires légitimes dont une utilisation non justifiée peut indiquer la présence d’APT28 dans le système :
• Scripts malveillants et outils spécialisés : en complément des utilitaires ci-dessus, APT28 a déployé ou exécuté plusieurs scripts publics à des fins offensives :
• Commandes et paramètres suspects : finalement, quelques lignes de commande spécifiques ont été identifiées comme fréquemment utilisées par APT28 durant ses intrusions, sans correspondre à des usages courants attendus. Il peut être utile de mettre en place des alertes lorsqu’une telle commande est observée dans les environnements Windows. Exemples notables :

En résumé, le modus operandi technique d’APT28 dans cette campagne combine le meilleur des deux mondes : d’une part des malwares dédiés quand nécessaire (pour disposer de capacités sur mesure, comme la persistance ou l’exfiltration continue) et d’autre part un usage astucieux des outils existants sur les systèmes (pour rester camouflé). Les défenseurs doivent donc non seulement déployer des solutions de détection de malware (antivirus, EDR avec YARA rules pour HEADLACE, etc.), mais aussi mettre en place une surveillance proactive des comportements système (par ex. détection d’utilisation anormale d’outils d’administration, modifications suspectes de configurations) afin de détecter ces intrusions subtiles.

Recommandations de défense et mitigations

Face à la sophistication de cette campagne, une approche de défense en profondeur est préconisée. Il convient d’appliquer des mesures de sécurité à plusieurs niveaux : durcissement de l’architecture, renforcement de l’authentification, surveillance accrue, et préparation à la réponse à incident. Les recommandations ci-dessous synthétisent les conseils émis par le CSA AA25-141A co-signé par CISA, NSA, ANSSI et consorts, en les adaptant au contexte. Nous les avons segmentées en deux parties : mesures générales (applicables à tout SI) et mesures spécifiques pour les caméras IP et équipements similaires (IoT).

Mesures de sécurité générales (hygiène informatique et architecture)

• Segmentation réseau et filtrage interne : Il est vital de mettre en place une segmentation des réseaux pour cloisonner les différentes zones (IT interne, OT/SCADA, DMZ, etc.) et limiter les mouvements latéraux en cas de compromission. Les accès entre segments doivent être restreints au minimum nécessaire (principe de moindre privilège réseau). Envisagez l’adoption des principes de Zero Trust – c’est-à-dire ne faire confiance à aucun élément par défaut, même à l’intérieur du LAN, et baser les décisions d’accès sur des attributs multiples (identité, posture du device, localisation…) plutôt que sur la simple présence sur le réseau interne. Chaque flux inhabituel (ex: un poste utilisateur tentant de se connecter à un contrôleur de domaine alors qu’il ne devrait pas) doit générer une alerte ou être bloqué.
• Pare-feu interne et détection de mouvements latéraux : Déployez des pare-feux locaux sur les postes et servez-vous-en pour empêcher les connexions latérales non autorisées. Par exemple, un serveur de fichiers n’a pas de raison de lancer des connexions RDP sortantes ; bloquez-le par défaut. Paramétrez des alertes sur les tentatives de connexions latérales inhabituelles (par ex., via votre SIEM, détecter si un hôte client essaie de scanner de multiples autres hôtes sur le port 445/TCP). Cela peut indiquer la propagation d’un attaquant. Utilisez aussi des outils d’EDR (Endpoint Detection & Response) sur l’ensemble des systèmes, en priorisant l’installation sur les systèmes critiques comme les serveurs de messagerie et les contrôleurs de domaine. Ces EDR, couplés à une journalisation centralisée, aideront à repérer des comportements anormaux (ex: création d’un processus lsass.exe enfant d’un processus inconnu, etc.).
• Audit et collecte de logs : Assurez-vous de collecter les journaux Windows importants (logs d’événements sécurité, systèmes, PowerShell, etc.) et de les conserver sur une plateforme centralisée inaltérable. Surveillez notamment les événements associés à la suppression des logs – par exemple, l’ID 1102 (Log clear) dans l’observateur d’événements doit être très rare, et toute occurrence devrait être investiguée immédiatement. Activez également la journalisation des commandes PowerShell (ScriptBlock Logging) afin de pouvoir analyser a posteriori les scripts exécutés (par exemple, voir si des cmdlets compress-archive ou add-mailboxpermission ont été utilisées de façon suspecte).
• Durcissement des postes Windows : Appliquez les fonctionnalités de sécurité optionnelles de Windows qui peuvent neutraliser certaines techniques d’APT28. En particulier, activez les règles de réduction de la surface d’attaque (ASR) via Windows Defender (ou via votre outil EDR). Par exemple :
• Surveillance renforcée des fichiers et processus : Adoptez des règles de détection open-source telles que SIGMA pour repérer des motifs suspects dans les événements Windows. Par exemple, une règle Sigma peut détecter l’apparition d’un process cmd.exe exécutant nltest ou whoami depuis un service réseau, ce qui peut signaler l’activité d’Impacket. De même, des règles pour repérer un mshta.exe exécutant un .url ou un msedge.exe en headless peuvent être utiles. CISA mentionne que l’adoption de solutions de safe browsing (sandbox de liens et pièces jointes au niveau de la messagerie) a grandement réduit le succès du spear-phishing chez certaines cibles – pensez à activer ces options auprès de votre fournisseur email (ex: Office 365 Advanced Threat Protection avec SafeLinks/SafeAttachments).
• Filtrage des accès externes : Bloquez autant que possible les connexions depuis des VPN publics ou TOR vers vos systèmes sensibles. Par exemple, si vos utilisateurs se connectent en télétravail, imposez l’usage de votre VPN d’entreprise et interdisez les connexions RDP/VPN provenant de services de type ProtonVPN, NordVPN, etc., ainsi que les adresses IP connues comme sorties Tor. Même si l’attaquant peut trouver des alternatives, cela le contraint à utiliser d’autres points de rebond plus faciles à repérer. Si toutefois certains services doivent rester accessibles publiquement, mettez en place des alertes de connexion pour toute source suspecte (adresse IP anonyme, pays inattendu, horaires inhabituels).
• Sensibilisation des utilisateurs et conformité aux politiques : Formez vos collaborateurs, en particulier ceux impliqués dans des secteurs stratégiques (défense, logistique humanitaire), aux risques du phishing. Insistez pour qu’ils utilisent exclusivement les canaux professionnels officiels pour tout échange sensible. Dans plusieurs intrusions, l’attaquant a profité de l’emploi de messageries privées par des employés pour y envoyer des pièges (ex: un employé utilise sa boîte perso pour discuter d’un projet pro, l’attaquant l’apprend et lui envoie un mail piégé sur son adresse perso). Découragez vivement de telles pratiques et auditez périodiquement les logs web et mail pour repérer l’usage de comptes non corporatifs à des fins professionnelles.
• Blocage de services à risque (domaine & DNS) : Comme on l’a vu, APT28 s’appuie sur de nombreux services en ligne gratuits pour ses attaques (hébergement de pages de phishing, redirections API, DNS dynamiques, etc.). Beaucoup de ces services peuvent être purement et simplement bloqués au niveau DNS ou proxy sans impacter l’activité normale de l’entreprise. Par exemple, si vos utilisateurs n’ont aucune raison légitime de contacter .webhook.site ou .ngrok.io, il est judicieux d’en interdire l’accès et/ou de logguer toute tentative. Le rapport AA25-141A fournit une liste de domaines fréquemment utilisés par APT28 qu’il est conseillé de filtrer, parmi lesquels :

Renforcement de l’authentification et des comptes (IAM)

Une large part des vecteurs initiaux d’APT28 repose sur l’exploitation des identifiants faibles ou volés. Il est donc crucial d’élever le niveau de sécurité autour de l’authentification des utilisateurs et de la gestion des comptes :

• Multi-Factor Authentication (MFA) robuste : Déployez le MFA sur tous les accès sensibles, en privilégiant des facteurs résistants au phishing. Par exemple, utilisez des clés physiques (FIDO2) ou des cartes à puce PKI plutôt que des OTP par SMS. Les facteurs basés sur la cryptographie (certificats, clés U2F) ne sont pas devinables et ne peuvent être répliqués via une simple attaque de relais comme le font certains kits de phishing. De plus, imposez des revalidations régulières de session : un VPN ou une session SaaS ne devrait pas rester ouvert indéfiniment sans redemander le MFA.
• Protection des comptes à privilèges : Appliquez des mesures spécifiques aux comptes administrateurs et sensibles : limiter strictement leur nombre, utiliser de préférence des clés hardware MFA (tokens) pour ces comptes, et effectuer un audit fréquent de tous les comptes disposant de privilèges élevés. Souvent, on découvre des anciens comptes admins non utilisés mais toujours actifs – supprimez-les.
• Séparation des rôles et surveillance : Segmentez les comptes par rôle et n’autorisez pas de chevauchement. Un administrateur de messagerie ne doit pas être admin du domaine, etc.. En cas d’utilisation hors rôle (un compte admin Exchange qui tente une opération sur AD), générez une alerte. Ainsi, même si un compte admin messagerie est compromis, l’attaquant ne pourra pas agir sur AD sans être repéré.
• Réduction de la dépendance au mot de passe : Dans la mesure du possible, avancez vers des solutions sans mot de passe ou SSO centralisé qui évitent la multiplication de secrets statiques. L’authentification Kerberos avec certificats ou l’authentification via un fournisseur SSO (Azure AD, Okta…) limitent les risques de password spraying car le mot de passe n’est plus le facteur principal ou doit être complété d’un second facteur. Pour les systèmes on-premise, envisagez de désactiver NTLM totalement si c’est possible. NTLM est un protocole ancien sujet à de multiples attaques (relais NTLM, pass-the-hash, etc.). Son remplacement par Kerberos (avec éventuellement PKINIT) élimine une surface d’attaque importante qu’APT28 a exploitée (CVE-2023-23397 en dépendait notamment).
• Gestion des mots de passe dans l’AD : Purgez toute trace de mot de passe stocké en clair dans les GPO. Microsoft a depuis 2014 fourni un patch pour supprimer la fonctionnalité incriminée, mais il est prudent de scanner l’AD à la recherche d’attributs cPassword. Si trouvés, utilisez Get-GPPPassword vous-même pour identifier les comptes concernés, puis changez ces mots de passe et nettoyez les GPO.
• Verrouillage/limitation des tentatives : Implémentez un mécanisme de limitation des tentatives d’authentification sur vos accès externes (O365, VPN, etc.). Idéalement, utilisez la throttling plutôt que le verrouillage binaire : c’est-à-dire augmenter le délai de réponse après chaque mot de passe erroné, plutôt que bloquer le compte totalement. En effet, le blocage de compte peut être détourné par un attaquant pour provoquer un déni de service (il suffit qu’il fasse 5 essais mauvais sur tous vos comptes pour tous les verrouiller). En revanche, rallonger la durée entre les essais (quelques secondes supplémentaires par échec, cumulativement) rend le brute force quasi-impossible sans impacter fortement l’utilisation légitime. Si vous optez pour le verrouillage, permettez au moins 5 à 10 essais avant verrouillage. Monitorer les événements de verrouillage ou throttle est utile pour repérer des attaques en cours.
• Vérification de mots de passe compromis : Intégrez dans vos politiques la vérification des nouveaux mots de passe par rapport à des bases de mots de passe divulgués (HaveIBeenPwned, etc.). Des API ou solutions existent pour cela, sans exposer le mot de passe en clair. Cela empêche les utilisateurs de définir un mot de passe déjà connu dans des listes que les attaquants testent en priorité.
• Changer les identifiants par défaut : Cela paraît basique, mais de nombreux accès IoT (caméras, routeurs) sont compromis car les mots de passe usine ne sont pas changés. Inventoriez tous vos dispositifs (y compris caméras IP, NAS, etc.) et assurez-vous que TOUS les comptes par défaut ont été modifiés ou désactivés. Désactivez ou supprimez également les comptes génériques non utilisés. Par ailleurs, désactivez les protocoles d’authentification faibles : par exemple, le Telnet, le HTTP non chiffré pour l’administration, ou toute méthode qui ne supporte pas le MFA. Dans le contexte d’APT28, on a vu qu’ils ciblent RTSP (souvent sans MFA) et exploitent les logins faibles – donc imposer des mots de passe forts et uniques sur ces services et fermer ceux non indispensables (ex: FTP sur caméra, etc.) est impératif.

En appliquant ces principes (MFA partout, moindres privilèges, surveillance des comptes admins, hygiène des mots de passe), on complique significativement la tâche d’APT28 ou tout autre adversaire équivalent. Par exemple, même si un identifiant fuit ou est deviné, le MFA bloque l’accès. Si malgré tout un compte est compromis, une bonne segmentation limitera l’impact, et une alerte sur comportement anormal du compte permettra d’agir vite.

Mesures spécifiques pour les caméras IP et dispositifs connectés

Étant donné la composante d’attaque sur les caméras IP et IoT observée, il convient de sécuriser ces équipements souvent négligés. Voici les recommandations particulières pour les caméras réseau (beaucoup s’appliquent également aux routeurs, NVR, etc.) :

• Gestion du cycle de vie : N’utiliser que des caméras et firmware supportés par le constructeur. Remplacez tout équipement obsolète n’ayant plus de mises à jour de sécurité. APT28 exploite en priorité des failles connues non patchées (ex: certaines caméras Hikvision avaient une backdoor publique). Maintenir un inventaire et mettre au rebut les modèles non maintenus est crucial.
• Mises à jour régulières : Appliquez systématiquement les patchs et firmwares dès leur disponibilité pour les caméras et leurs équipements associés (NVR, logiciels clients). Un programme de gestion de correctifs doit couvrir aussi ces composants OT/IoT, pas seulement les serveurs.
• Désactivation des accès inutiles : Coupez l’accès distant direct aux caméras si ce n’est pas absolument nécessaire. Par exemple, si une caméra n’a pas à être consultable depuis Internet, assurez-vous qu’elle est uniquement accessible depuis le LAN interne ou via un VPN d’entreprise. Beaucoup de compromissions surviennent parce que les flux RTSP ou les interfaces d’admin sont exposés en ligne.
• Protection périmétrique : Placez autant que possible les caméras derrière un pare-feu ou dans un VLAN isolé. N’autorisez que les adresses IP spécifiques (par ex. le serveur central de vidéo, ou les IP du siège) à communiquer avec elles, et bloquez tout le reste. Ainsi, même si l’attaquant découvre l’IP de la caméra, il ne pourra pas s’y connecter depuis Internet. L’utilisation de VPN ou de tunnels sécurisés pour accéder aux flux est recommandée.
• Authentification et durcissement : Imposer un mot de passe fort pour accéder au flux vidéo ou à l’interface de la caméra. Si possible, activer une authentification au niveau du flux RTSP (beaucoup de caméras permettent de désactiver l’accès “public” et de requérir un login). Également, si le produit le supporte, activez le MFA pour les comptes administrateur de la caméra ou de la plateforme VMS associée. Par exemple, certaines solutions de caméras modernes intègrent l’auth via OAuth ou des applis mobiles pour la gestion – utilisez-les.
• Désactivation des services non utilisés : De nombreuses caméras IP viennent avec des services divers actifs (serveur web pour visionner la caméra, service FTP, Telnet, UPnP, P2P cloud…). Désactivez UPnP et P2P en priorité, car ils peuvent permettre un accès depuis l’extérieur même derrière NAT. Coupez également le Telnet/SSH et tout autre service non requis pour le fonctionnement normal. Moins il y a de portes d’entrée, plus l’attaquant devra déployer d’efforts (et sera détectable).
• Accès sécurisé aux flux : Si un accès distant est nécessaire (par ex. un prestataire doit pouvoir voir la caméra), utilisez un VPN d’entreprise ou un accès sécurisé plutôt que d’exposer le port RTSP au monde. En outre, privilégiez les flux RTSP authentifiés uniquement (pas de stream “public” sans auth). Configurez les caméras pour refuser les login par défaut ou, si possible, supprimer carrément le compte “admin” par défaut au profit d’un autre nom d’utilisateur.
• Audit des comptes et accès : Vérifiez régulièrement la liste des utilisateurs configurés sur les caméras et systèmes associés. Supprimez les comptes inconnus ou plus utilisés. Toute création de compte ou connexion inhabituelle sur ces dispositifs doit être investiguée. Certaines caméras permettent d’envoyer des alertes en cas de login – activez-les si disponibles (ex: mail lors d’une connexion admin).
• Journalisation et supervision : Si la caméra ou le NVR offre la possibilité de logger les accès (connexion réussie/échouée, modifications de paramètres), activez cette journalisation et centralisez-la autant que possible. Même si les logs sont sommaires, ils peuvent révéler une tentative d’accès brute-force (ex: de multiples échecs de connexion). Surveillez notamment les requêtes suspectes dans les logs du routeur/pare-feu attenant – par exemple des séries de requêtes DESCRIBE venant d’une même IP externe. Mettre en place des alertes IDS pour détecter la signature d’une requête RTSP avec Authorization: Basic pourrait vous permettre de repérer en temps réel une attaque de ce type.

En somme, l’administration des caméras IP doit être intégrée à la politique de sécurité globale, et non traitée à part. L’attaquant cherchera toujours le maillon faible – souvent, les IoT mal gérés sont ce maillon. En sécurisant ces dispositifs, on ôte à APT28 un vecteur important de collecte d’informations.

Indicateurs de compromission (IOC) et détection

Cette section rassemble les principaux indicateurs de compromission et pistes de détection liés à la campagne APT28 étudiée. Attention : certains de ces IoC (adresses IP, domaines, hash, etc.) peuvent ne plus être actifs ou peuvent correspondre à des systèmes compromis tiers (par exemple des routeurs légitimes utilisés comme proxies). Ils doivent être utilisés avec précaution dans les SIEM/EDR pour éviter les faux positifs. Néanmoins, ils offrent des points de pivot pour la threat hunting visant à découvrir une éventuelle présence de l’attaquant.

Outils et comportements suspects à surveiller

Utilitaires légitimes détournés : comme listé précédemment, un usage inhabituel des outils Windows suivants peut indiquer une compromission APT28 :

• ntdsutil – utilisé pour exporter la base AD (rarement utilisé en routine, surtout pas sur un contrôleur de domaine sans maintenance planifiée).
• wevtutil – utilisé pour effacer des journaux (son usage normal est très rare en dehors de scripts d’administration).
• vssadmin – surveiller son usage hors contexte de backup (APT28 l’utilise pour manipuler les shadow copies).
• schtasks – création de tâche anormale, surtout via un fichier XML en ligne de commande.
• whoami / hostname / systeminfo / arp / tasklist / net / wmic – pris isolément ces commandes peuvent être légitimes, mais si un processus inconnu ou un utilisateur standard les exécute en série, cela peut révéler un script de reconnaissance. Par exemple, plusieurs exécutions de systeminfo depuis un compte service ou sur de multiples machines en peu de temps sont suspects.
• AdExplorer (ADExplorer.exe) – cet outil n’a pas de raison de tourner sur un serveur à moins qu’un admin soit en train de l’utiliser. Son exécution en arrière-plan (vérifiable via la liste des processus) est un indicateur à prendre au sérieux.
• OpenSSH/ssh – sur un serveur Windows, l’apparition d’un processus ssh ou sshd, ou la présence de fichiers liés à OpenSSH (par ex. C:\Program Files\OpenSSH), est à investiguer. Sauf si vous avez intégré OpenSSH pour l’admin, ça peut signaler que l’attaquant l’a installé. De même, dans les logs réseau, voir une connexion sortante vers un port 22 inconnu, ou une commande ssh -Nf, devrait alerter.
• cacls / icacls / reg – surveiller les modifications de permissions fichiers ou de registre sur des clés système. Un malware pourrait utiliser icacls pour s’octroyer les droits sur un fichier protégé avant de le lire, par exemple.

En général, il est recommandé d’implémenter des règles de corrélation : l’exécution successive de whoami, net user, nltest, dsquery par le même processus ou le même user, dans un intervalle court, est typiquement ce qu’on voit lors d’une intrusion (script de reconnaissance). Ce genre de séquence doit être flaggé.

Scripts et fichiers malveillants : quelques artefacts à détecter :

• Présence de fichiers nommés Certipy, Get-GPPPassword.py, ldapdump.py sur des machines non destinées aux tests. Leur présence (par ex. dans TEMP ou Downloads) est très suspecte.
• Le backdoor Hikvision mentionné plus haut – détecter la chaîne admin:11 en Base64 (YWRtaW46MTEK) dans le trafic sortant entrant (par exemple via un IDS réseau qui décoderait les Basic Auth). Si vous gérez des caméras, scanner leurs config dumps à la recherche de cette string peut aussi révéler si elles ont été compromises par ce backdoor.
• Fichiers raccourcis .url contenant [InternetShortcut] pointant vers un file://…msedge.exe – c’est typique de HEADLACE. Un *.url de ce type dans le dossier Startup est clairement malveillant.

Command-lines suspectes : A intégrer dans votre outil de détection des patterns de commande (via Sysmon, EDR, etc.) :

• msedge.exe –headless (pas courant du tout, sauf usage spécifique automatisation).
• schtasks /create /XML (surtout s’il n’y a pas eu d’installation logicielle ou d’activité admin légitime).
• ntdsutil … ifm « create full… » (cité plus haut, peut être cherché via l’event ID des processus créés).
• wevtutil cl (clear logs, idem).
• powershell -enc … (PowerShell encodé en base64 – technique souvent utilisée pour loader des scripts malveillants en mémoire).

Enfin, la mise en place de règles YARA sur les systèmes ou fichiers peut aider à détecter certaines charges utiles spécifiques d’APT28. Le rapport CISA fournit par exemple des règles YARA pour identifier en mémoire ou sur disque le listener NTLM et les composants HEADLACE/MASEPIE. Ci-dessous, à titre d’exemple, une règle YARA issue du rapport, visant à détecter la présence d’un fichier raccourci HEADLACE (dropper) sur un système :

rule APT28_HEADLACE_SHORTCUT {
    meta:
        description = "Detects the HEADLACE backdoor shortcut dropper. Rule is meant for threat hunting."
    strings:
        $type = "[InternetShortcut]" ascii nocase
        $url  = "file://"
        $edge = "msedge.exe"
        $icon = "IconFile"
    condition:
        all of them
} 

Cette règle recherche simplement dans un fichier les indications qu’il s’agit d’un raccourci Internet (fichier .url) lançant Microsoft Edge. Dans un contexte normal, très peu de raccourcis contiennent ce type de chaînes simultanément – leur détection sur un poste user peut révéler la présence du dropper HEADLACE.

De même, des règles YARA pour détecter le script malveillant de collecte d’identifiants (HEADLACE_CREDENTIALDIALOG) ou le core batch HEADLACE existent, de même qu’une règle pour le script Python MASEPIE. Les organisations ciblées par APT28, notamment dans le secteur transport/défense, ont tout intérêt à intégrer ces signatures YARA dans leurs outils de chasse pour scanner leurs systèmes à la recherche de traces éventuelles.

Conclusion

La campagne de cyberespionnage menée par l’unité 26165 du GRU (APT28) entre 2022 et 2025 illustre un haut niveau de sophistication et de détermination de la part d’un acteur étatique. En combinant des attaques classiques (phishing, brute force) avec l’exploitation de vulnérabilités zero-day et l’abus d’outils légitimes, APT28 a réussi à infiltrer un grand nombre d’entités liées à la logistique de l’aide ukrainienne, et à en extraire des renseignements stratégiques de première importance. L’ajout d’un volet de surveillance vidéo via les caméras IP montre également une approche innovante et tous azimuts de la collecte de renseignement, brouillant la frontière entre cyberespace et espace physique.

Pour nous professionnels de la cybersécurité – que l’on soirt CERT, SOC, ou RSSI – cette campagne apporte plusieurs enseignements majeurs : la nécessité de mettre à niveau les pratiques de sécurité (MFA, segmentation, patch management y compris sur l’IoT), de détecter finement les comportements anormaux (Living-off-the-Land), et de collaborer étroitement au niveau international pour partager indicateurs et méthodes de détection face à des acteurs étatiques particulièrement persistants. Le présent livre blanc a exposé en détail les tactiques, techniques et procédures employées par APT28, en s’appuyant sur le rapport conjoint AA25-141A et sur des sources complémentaires de confiance. Il servira, espérons-le, de base pour renforcer vos défenses et affiner vos capacités de détection vis-à-vis de ce type de menace.

En appliquant les recommandations formulées (et résumées ci-dessus), les organisations visées pourront significativement réduire la surface d’attaque et augmenter leurs chances de détecter précocement une tentative d’intrusion de ce calibre – limitant ainsi l’impact potentiel sur la sécurité nationale et les opérations critiques de soutien.

J’espère que cette article vous aura permit de comprendre un peu mieux le travail de l’anticipation de la menace et son suivi à travers la Cyber Threat Intelligence.

Enjoy !

Sources et références

1. CISA – Joint Advisory AA25-141A: Russian GRU Targeting Western Logistics Entities and Technology Companies (21 mai 2025) – CISA.gov (Rapport original complet).
2. FBI, NSA, NCSC-UK et al. – Russian Cyber Actors Use Compromised Routers to Facilitate Cyber Operations (PDF, février 2024).
3. NSA, CISA et al. – Russian GRU Conducting Global Brute Force Campaign to Compromise Enterprise and Cloud Environments (PDF, juillet 2021).
4. ANSSI (CERT-FR) – Campagnes d’attaques du mode opératoire APT28 depuis 2021 (Rapport CTI-009, 2023).
5. ANSSI (CERT-FR) – Targeting and compromise of French entities using the APT28 intrusion set (Rapport CTI-007, mai 2025).
6. Polish Cyber Command – Detecting Malicious Activity Against Microsoft Exchange Servers (blog, 2023).
7. IBM Security X-Force – Israel-Hamas Conflict Lures to Deliver Headlace Malware (blog, nov. 2023).
8. CERT-UA (Ukraine) – APT28: From Initial Attack to Creating Domain Controller Threats in an Hour (article technique, 2023).
9. NSA – Embracing a Zero Trust Security Model (Guide CSI, fév. 2021).
10. NSA & CISA – Keeping PowerShell: Security Measures to Use and Embrace (Guide CSI, juin 2022).
11. NIST SP 800-63B – Digital Identity Guidelines – Authentication and Lifecycle Management (Juin 2017).
12. NSA – Selecting Secure Multi-factor Authentication Solutions (Oct. 2020).
13. NSA & CISA – Top Ten Cybersecurity Misconfigurations (Joint CSA) (Oct. 2023).
14. US Dept. of Justice – Court-Authorized Disruption of GRU Botnet (Communiqué, avril 2024).
15. Recorded Future – “BlueDelta” Targets Key Networks in Europe with Espionage Campaigns (rapport CTA, mai 2024).