APT28 a compromis des milliers de routeurs MikroTik et TP-Link via la campagne FrostArmada pour détourner le DNS et voler des identifiants Microsoft 365.
En bref
- APT28 (Forest Blizzard) a compromis des milliers de routeurs MikroTik et TP-Link pour détourner le trafic DNS et voler des identifiants Microsoft 365
- Plus de 200 organisations et 5 000 appareils impactés selon Microsoft
- Action requise : mettre à jour le firmware de vos routeurs SOHO et vérifier vos paramètres DNS
Les faits
Le 7 avril 2026, le NCSC britannique et Lumen Black Lotus Labs ont révélé l'existence de FrostArmada, une campagne d'espionnage menée par APT28 — le groupe russe également connu sous le nom de Forest Blizzard ou Fancy Bear — active depuis mai 2025. L'opération repose sur la compromission massive de routeurs grand public MikroTik et TP-Link pour en modifier les paramètres DNS et rediriger le trafic réseau des victimes vers des nœuds de type « attaquant-au-milieu » (AitM).
Concrètement, lorsqu'un utilisateur d'un réseau dont le routeur est compromis tente d'accéder à des services comme Microsoft 365, la requête DNS est redirigée vers un serveur contrôlé par APT28 qui présente une page de connexion identique. Les identifiants sont interceptés en temps réel, selon le rapport du NCSC. Pour les routeurs TP-Link WR841N, APT28 a exploité CVE-2023-50224, une vulnérabilité de contournement d'authentification connue depuis 2023 mais restée non corrigée sur de nombreux équipements.
Impact et exposition
Microsoft a identifié plus de 200 organisations et 5 000 appareils grand public impactés par l'infrastructure DNS malveillante. Les victimes se concentrent en Europe et en Amérique du Nord, avec une attention particulière portée aux institutions gouvernementales et aux sous-traitants de la défense. Cette campagne rappelle les précédentes opérations d'APT28 contre des cibles stratégiques, mais avec une approche plus furtive et diffuse via les routeurs domestiques.
Le risque est d'autant plus élevé en contexte de télétravail : un employé connecté via un routeur domestique compromis expose les identifiants de son organisation sans qu'aucune alerte ne se déclenche côté entreprise. Les solutions EDR classiques ne voient pas le détournement DNS qui se produit en amont, sur l'équipement réseau lui-même. Une attaque similaire ciblant Microsoft 365 avait été attribuée à l'Iran récemment, montrant que cette surface d'attaque est activement exploitée par plusieurs États.
Recommandations
- Mettre à jour immédiatement le firmware de tous vos routeurs MikroTik et TP-Link — en particulier les modèles WR841N vulnérables à CVE-2023-50224
- Vérifier et verrouiller les paramètres DNS de vos routeurs — s'assurer qu'ils pointent vers des résolveurs légitimes
- Activer le MFA résistant au phishing (FIDO2/passkeys) sur tous les comptes Microsoft 365
- Surveiller les connexions depuis des IP résidentielles inhabituelles dans les journaux Azure AD
Alerte critique
Si vos collaborateurs en télétravail utilisent des routeurs TP-Link WR841N ou des MikroTik non mis à jour, leurs identifiants Microsoft 365 peuvent être interceptés sans aucune alerte. Vérifiez les paramètres DNS de vos équipements réseau dès maintenant.
Comment vérifier si mon routeur a été compromis par FrostArmada ?
Connectez-vous à l'interface d'administration de votre routeur et vérifiez les serveurs DNS configurés. S'ils ne correspondent pas à ceux de votre FAI ou à des résolveurs connus (comme 1.1.1.1 ou 9.9.9.9), votre routeur a peut-être été modifié. Vérifiez également la version du firmware et comparez-la avec la dernière version disponible chez le fabricant. En cas de doute, réinitialisez le routeur aux paramètres d'usine et appliquez le dernier firmware.
Le MFA protège-t-il contre ce type d'attaque ?
Le MFA par SMS ou application (TOTP) offre une protection limitée car l'attaquant peut intercepter le code en temps réel via la page de phishing AitM. Seul le MFA résistant au phishing — comme les clés FIDO2 ou les passkeys — bloque efficacement ce type d'attaque, car l'authentification est liée au domaine légitime et ne peut pas être rejouée sur un faux site. Consultez notre comparatif des solutions de sécurité pour choisir les bons outils.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Docker CVE-2026-34040 : contournement AuthZ et accès hôte
CVE-2026-34040 permet de contourner les plugins AuthZ Docker via des requêtes surdimensionnées et créer des conteneurs privilégiés avec accès hôte.
Storm-1175 : la Chine déploie Medusa via des zero-days
Microsoft identifie Storm-1175, un acteur chinois qui exploite des zero-days dans SmarterMail et GoAnywhere MFT pour déployer le ransomware Medusa en moins de 24 heures.
Le Japon mise sur les robots IA face à la pénurie de travail
Le Japon déploie massivement des robots IA pour pallier un déficit de 11 millions de travailleurs d'ici 2040. Le METI vise 30 % du marché mondial de l'IA physique.
Commentaires (1)
Laisser un commentaire