Microsoft Threat Intelligence a découvert une campagne de cyberespionnage menée par l’acteur d’État russe connu sous le nom de Secret Blizzard, ciblant les ambassades à Moscou depuis au moins 2024. Cette campagne utilise une technique d’adversaire-au-milieu (AiTM) pour déployer leur malware personnalisé ApolloShadow.
ApolloShadow a la capacité d’installer un certificat racine de confiance pour tromper les appareils en leur faisant croire que les sites contrôlés par les acteurs malveillants sont sûrs, permettant à Secret Blizzard de maintenir une persistance sur les appareils diplomatiques, probablement pour la collecte de renseignements.
Cette activité pose un risque élevé pour les ambassades étrangères et d’autres organisations sensibles opérant à Moscou, en particulier celles qui dépendent des fournisseurs d’accès Internet locaux. Microsoft recommande de router tout le trafic via un tunnel chiffré vers un réseau de confiance ou d’utiliser un fournisseur alternatif, tel qu’une connexion par satellite.
Les indicateurs de compromission (IOCs) incluent le domaine contrôlé par l’acteur kav-certificates[.]info et l’adresse IP 45.61.149[.]109. Le malware ApolloShadow est associé au fichier CertificateDB.exe.
Ce rapport d’analyse technique vise à sensibiliser les organisations à cette menace et à fournir des recommandations pour renforcer leur surface d’attaque contre cette activité et des menaces similaires.
🧠 TTPs et IOCs détectés
TTP
Technique d’adversaire-au-milieu (AiTM), Installation de certificat racine pour persistance
IOC
Domaine: kav-certificates[.]info, IP: 45.61.149[.]109, Fichier: CertificateDB.exe
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/07/31/frozen-in-transit-secret-blizzards-aitm-campaign-against-diplomats/