FrostArmada : APT28 détourne des routeurs pour voler vos

8 avril 2026

•

Mis à jour le 26 mai 2026

•

5 min de lecture

•

647 mots

•

614 vues

•

APT28 a compromis des milliers de routeurs MikroTik et TP-Link via la campagne FrostArmada pour détourner le DNS et voler des identifiants Microsoft 365.

TL;DR — En résumé

APT28 détourne des routeurs MikroTik et TP-Link via FrostArmada pour voler des identifiants Microsoft 365 par DNS hijacking. Analyse et protection.

En bref

APT28 (Forest Blizzard) a compromis des milliers de routeurs MikroTik et TP-Link pour détourner le trafic DNS et voler des identifiants Microsoft 365
Plus de 200 organisations et 5 000 appareils impactés selon Microsoft
Action requise : mettre à jour le firmware de vos routeurs SOHO et vérifier vos paramètres DNS

Les faits

Le 7 avril 2026, le NCSC britannique et Lumen Black Lotus Labs ont révélé l'existence de FrostArmada, une campagne d'espionnage menée par APT28 — le groupe russe également connu sous le nom de Forest Blizzard ou Fancy Bear — active depuis mai 2025. L'opération repose sur la compromission massive de routeurs grand public MikroTik et TP-Link pour en modifier les paramètres DNS et rediriger le trafic réseau des victimes vers des nœuds de type « attaquant-au-milieu » (AitM).

Concrètement, lorsqu'un utilisateur d'un réseau dont le routeur est compromis tente d'accéder à des services comme Microsoft 365, la requête DNS est redirigée vers un serveur contrôlé par APT28 qui présente une page de connexion identique. Les identifiants sont interceptés en temps réel, selon le rapport du NCSC. Pour les routeurs TP-Link WR841N, APT28 a exploité CVE-2023-50224, une vulnérabilité de contournement d'authentification connue depuis 2023 mais restée non corrigée sur de nombreux équipements.

Impact et exposition

Microsoft a identifié plus de 200 organisations et 5 000 appareils grand public impactés par l'infrastructure DNS malveillante. Les victimes se concentrent en Europe et en Amérique du Nord, avec une attention particulière portée aux institutions gouvernementales et aux sous-traitants de la défense. Cette campagne rappelle les précédentes opérations d'APT28 contre des cibles stratégiques, mais avec une approche plus furtive et diffuse via les routeurs domestiques.

Le risque est d'autant plus élevé en contexte de télétravail : un employé connecté via un routeur domestique compromis expose les identifiants de son organisation sans qu'aucune alerte ne se déclenche côté entreprise. Les solutions EDR classiques ne voient pas le détournement DNS qui se produit en amont, sur l'équipement réseau lui-même. Une attaque similaire ciblant Microsoft 365 avait été attribuée à l'Iran récemment, montrant que cette surface d'attaque est activement exploitée par plusieurs États.

Recommandations

Mettre à jour immédiatement le firmware de tous vos routeurs MikroTik et TP-Link — en particulier les modèles WR841N vulnérables à CVE-2023-50224
Vérifier et verrouiller les paramètres DNS de vos routeurs — s'assurer qu'ils pointent vers des résolveurs légitimes
Activer le MFA résistant au phishing (FIDO2/passkeys) sur tous les comptes Microsoft 365
Surveiller les connexions depuis des IP résidentielles inhabituelles dans les journaux Azure AD

Alerte critique

Si vos collaborateurs en télétravail utilisent des routeurs TP-Link WR841N ou des MikroTik non mis à jour, leurs identifiants Microsoft 365 peuvent être interceptés sans aucune alerte. Vérifiez les paramètres DNS de vos équipements réseau dès maintenant.

Comment vérifier si mon routeur a été compromis par FrostArmada ?

Connectez-vous à l'interface d'administration de votre routeur et vérifiez les serveurs DNS configurés. S'ils ne correspondent pas à ceux de votre FAI ou à des résolveurs connus (comme 1.1.1.1 ou 9.9.9.9), votre routeur a peut-être été modifié. Vérifiez également la version du firmware et comparez-la avec la dernière version disponible chez le fabricant. En cas de doute, réinitialisez le routeur aux paramètres d'usine et appliquez le dernier firmware.

Le MFA protège-t-il contre ce type d'attaque ?

Le MFA par SMS ou application (TOTP) offre une protection limitée car l'attaquant peut intercepter le code en temps réel via la page de phishing AitM. Seul le MFA résistant au phishing — comme les clés FIDO2 ou les passkeys — bloque efficacement ce type d'attaque, car l'authentification est liée au domaine légitime et ne peut pas être rejouée sur un faux site. Consultez notre comparatif des solutions de sécurité pour choisir les bons outils.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit

Partager cet article

Twitter LinkedIn

À propos de l'auteur

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans d'expérience

700+

articles publiés

100+

missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Voir le profil complet Demander un devis

Ressources & Outils de l'auteur

GitHub

Code & projets open source

ORCID

Identifiant chercheur

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Articles connexes

AI Act Omnibus : l'UE simplifie et repousse les délais

Le 7 mai 2026, l'UE a conclu un accord provisoire sur l'AI Act Omnibus, prolongeant les délais pour les systèmes à haut risque et interdisant la génération de deepfakes sexuels non consentis dès décembre 2026.

26/05/2026

Trump abandonne son décret sur l'IA et la cybersécurité

Le 21 mai 2026, Donald Trump a annulé en dernière minute la signature d'un décret sur l'IA et la cybersécurité qui aurait instauré des tests pré-déploiement pour les modèles frontier.

26/05/2026

Dead.Letter : RCE critique non authentifiée dans Exim

La faille Dead.Letter (CVE-2026-45185) expose des millions de serveurs Exim à une exécution de code à distance non authentifiée, CVSS 9,8. Un patch est disponible en version 4.99.3.

26/05/2026

Article précédent

Storm-1175 : la Chine déploie Medusa via des zero-days

Article suivant

Docker CVE-2026-34040 : contournement AuthZ et accès hôte

Besoin d'un expert ?

Un projet cybersécurité ? Parlons-en.

Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin.

Nous contacter

Commentaires (1)

Clara Dubois 01/01/0001 à 00:00

Merci pour cet article. On a justement des WR841N chez plusieurs collaborateurs en télétravail... On va lancer un audit de firmware dès demain matin. Question : est-ce que les Freebox et Livebox sont aussi concernées ou juste MikroTik/TP-Link ?

Laisser un commentaire