APT28 a compromis des milliers de routeurs MikroTik et TP-Link via la campagne FrostArmada pour détourner le DNS et voler des identifiants Microsoft 365.
TL;DR — En résumé
APT28 détourne des routeurs MikroTik et TP-Link via FrostArmada pour voler des identifiants Microsoft 365 par DNS hijacking. Analyse et protection.
En bref
- APT28 (Forest Blizzard) a compromis des milliers de routeurs MikroTik et TP-Link pour détourner le trafic DNS et voler des identifiants Microsoft 365
- Plus de 200 organisations et 5 000 appareils impactés selon Microsoft
- Action requise : mettre à jour le firmware de vos routeurs SOHO et vérifier vos paramètres DNS
Les faits
Le 7 avril 2026, le NCSC britannique et Lumen Black Lotus Labs ont révélé l'existence de FrostArmada, une campagne d'espionnage menée par APT28 — le groupe russe également connu sous le nom de Forest Blizzard ou Fancy Bear — active depuis mai 2025. L'opération repose sur la compromission massive de routeurs grand public MikroTik et TP-Link pour en modifier les paramètres DNS et rediriger le trafic réseau des victimes vers des nœuds de type « attaquant-au-milieu » (AitM).
Concrètement, lorsqu'un utilisateur d'un réseau dont le routeur est compromis tente d'accéder à des services comme Microsoft 365, la requête DNS est redirigée vers un serveur contrôlé par APT28 qui présente une page de connexion identique. Les identifiants sont interceptés en temps réel, selon le rapport du NCSC. Pour les routeurs TP-Link WR841N, APT28 a exploité CVE-2023-50224, une vulnérabilité de contournement d'authentification connue depuis 2023 mais restée non corrigée sur de nombreux équipements.
Impact et exposition
Microsoft a identifié plus de 200 organisations et 5 000 appareils grand public impactés par l'infrastructure DNS malveillante. Les victimes se concentrent en Europe et en Amérique du Nord, avec une attention particulière portée aux institutions gouvernementales et aux sous-traitants de la défense. Cette campagne rappelle les précédentes opérations d'APT28 contre des cibles stratégiques, mais avec une approche plus furtive et diffuse via les routeurs domestiques.
Le risque est d'autant plus élevé en contexte de télétravail : un employé connecté via un routeur domestique compromis expose les identifiants de son organisation sans qu'aucune alerte ne se déclenche côté entreprise. Les solutions EDR classiques ne voient pas le détournement DNS qui se produit en amont, sur l'équipement réseau lui-même. Une attaque similaire ciblant Microsoft 365 avait été attribuée à l'Iran récemment, montrant que cette surface d'attaque est activement exploitée par plusieurs États.
Recommandations
- Mettre à jour immédiatement le firmware de tous vos routeurs MikroTik et TP-Link — en particulier les modèles WR841N vulnérables à CVE-2023-50224
- Vérifier et verrouiller les paramètres DNS de vos routeurs — s'assurer qu'ils pointent vers des résolveurs légitimes
- Activer le MFA résistant au phishing (FIDO2/passkeys) sur tous les comptes Microsoft 365
- Surveiller les connexions depuis des IP résidentielles inhabituelles dans les journaux Azure AD
Alerte critique
Si vos collaborateurs en télétravail utilisent des routeurs TP-Link WR841N ou des MikroTik non mis à jour, leurs identifiants Microsoft 365 peuvent être interceptés sans aucune alerte. Vérifiez les paramètres DNS de vos équipements réseau dès maintenant.
Comment vérifier si mon routeur a été compromis par FrostArmada ?
Connectez-vous à l'interface d'administration de votre routeur et vérifiez les serveurs DNS configurés. S'ils ne correspondent pas à ceux de votre FAI ou à des résolveurs connus (comme 1.1.1.1 ou 9.9.9.9), votre routeur a peut-être été modifié. Vérifiez également la version du firmware et comparez-la avec la dernière version disponible chez le fabricant. En cas de doute, réinitialisez le routeur aux paramètres d'usine et appliquez le dernier firmware.
Le MFA protège-t-il contre ce type d'attaque ?
Le MFA par SMS ou application (TOTP) offre une protection limitée car l'attaquant peut intercepter le code en temps réel via la page de phishing AitM. Seul le MFA résistant au phishing — comme les clés FIDO2 ou les passkeys — bloque efficacement ce type d'attaque, car l'authentification est liée au domaine légitime et ne peut pas être rejouée sur un faux site. Consultez notre comparatif des solutions de sécurité pour choisir les bons outils.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Nihon Kotsu : malware frappe le dispatch taxi de Tokyo
Nihon Kotsu, premier opérateur de taxis du Japon avec plus de 6 300 véhicules à Tokyo, a confirmé le 13 juillet 2026 une infection malware ayant paralysé son système de dispatch téléphonique et ses réservations en ligne.
jscrambler npm backdooré : supply chain via preinstall hook
Le package npm jscrambler a été compromis le 11 juillet 2026 via cinq versions malveillantes intégrant un infostealer Rust exécuté dès l'installation. La charge utile cible credentials cloud, tokens CI/CD et configurations d'outils IA.
Samsung Health : données santé effacées si vous refusez l'IA
Samsung contraint ses utilisateurs à consentir à l'utilisation de leurs données de santé pour entraîner ses modèles IA, sous peine de suppression immédiate. Une pratique qui soulève de graves questions de conformité RGPD.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire