Tawanboonnak - stock.adobe.com

Actualites

APT28 : l'exploitation des routeurs SOHO comme levier d'espionnage

Le groupe APT28 exploite massivement des routeurs domestiques vulnérables pour détourner le DNS et lancer des attaques "Adversary-in-the-Middle", compromettant des actifs professionnels.

Valéry Rieß-Marchive
par
Publié le: 08 avr. 2026

L'analyse des récents mouvements de l'unité de renseignement militaire russe, le 85e Centre de service spécial, désigné sous les références APT28, Forest Blizzard ou encore Fancy Bear, révèle une stratégie de compromission à grande échelle visant les équipements de bordure.

Ces acteurs, affiliés au GRU, ont initialement ciblé des routeurs de petits bureaux et de domicile (SOHO), notamment des modèles TP-Link vulnérables via l'exploit CVE-2023-50224. De quoi, selon le National Cyber Security Centre (NCSC) britannique, "modifier les paramètres DHCP/DNS pour rediriger le trafic vers des serveurs DNS contrôlés par l'attaquant".

Cette approche, bien que techniquement simple, offre une visibilité passive massive. "L'acteur cible un large ensemble de victimes de manière opportuniste, filtrant ensuite progressivement vers des utilisateurs présentant une valeur de renseignement potentiel à chaque étape de la chaîne d'exploitation", précise le NCSC.

Le mécanisme repose sur la compromission des interfaces d'administration des routeurs pour y injecter de faux serveurs DNS. Une fois le routeur compromis, les terminaux en aval héritent de ces paramètres malveillants via DHCP, orientant leurs requêtes DNS vers des serveurs privés virtuels (VPS) contrôlés à l'acteur, exécutant souvent simplement l'outil dnsmasq.

Le mécanisme d'usurpation "Adversary-in-the-Middle"

L'usurpation du DNS n'est pas une fin en soi, mais une étape préparatoire vers des attaques plus sophistiquées. La configuration des serveurs DNS malveillants permet non seulement d'observer le trafic, mais aussi de mener des attaques de type "Adversary-in-the-Middle" (AiTM).

Microsoft confirme que cette phase a été observée contre des services critiques, notamment Outlook sur le Web : "l'infrastructure malveillante contrôlée par l'attaquant présenterait alors un certificat TLS invalide à la victime", notant que si l'utilisateur ignore l'avertissement, l'attaquant peut intercepter le trafic chiffré.

Ce mécanisme permet le vol de mots de passe et de jetons OAuth, contournant les protections classiques de la MFA. "Bien que le nombre d'organisations spécifiquement ciblées pour les attaques AiTM soit un sous-ensemble des réseaux équipés d'appareils SOHO vulnérables [...] l'accès large de l'acteur malveillant pourrait permettre des attaques AiTM à plus grande échelle", souligne l'équipe de renseignement sur les menaces de l'éditeur.

L'impact peut s'avérer particulièrement dévastateur pour les infrastructures critiques et gouvernementales. Des activités visant des domaines Microsoft 365 ont été constatées, mais aussi au-delà, "dans au moins trois organisations gouvernementales en Afrique". Menées avec succès, c'est opérations permettent aux acteurs d'espionner le contenu des emails et les données sensibles sans nécessairement pirater directement les serveurs de l'entreprise. La nature de l'attaque transforme un équipement domestique non géré en une passerelle vers le cœur de l'entreprise.

Stratégies d'atténuation

Pour contrer cette menace, les décideurs doivent adopter une approche défensive à plusieurs niveaux. Le NCSC rappelle que "les interfaces d'administration ne doivent jamais être exposées sur Internet" et qu'il est nécessaire de tenir à jour ses équipements et logiciels. 

Microsoft recommande par ailleurs l'implémentation du Zero Trust DNS (ZTDNS) sur les terminaux Windows pour forcer l'utilisation de résolveurs de confiance, et empêcher la redirection vers des serveurs DNS malveillants même si le routeur est compromis.

Viennent ensuite, la centralisation des identités et l'adoption de solutions d'authentification à facteurs multiples (MFA) résistantes au phishing : "utiliser des solutions sans mot de passe comme les clés de passe (passkeys) en complément de la MFA, et appliquer des politiques d'accès conditionnel pour renforcer les comptes privilégiés", recommande ainsi Microsoft. L'intégration de Microsoft Entra ID Protection permet en outre de détecter les connexions suspectes et d'appliquer des réponses automatiques.

Pour approfondir sur Cyberdéfense