Selon AWS (aws.amazon.com), l’équipe Threat Intelligence d’Amazon a identifié et neutralisé une campagne de watering hole menée par APT29/Midnight Blizzard (associé au SVR russe). Des sites légitimes compromis redirigeaient une fraction des visiteurs vers des domaines imitant des pages de vérification Cloudflare, afin de les amener à valider des appareils contrôlés par l’attaquant via le flux d’authentification Microsoft par code d’appareil. AWS précise qu’aucun système AWS n’a été compromis et qu’aucun impact direct sur ses services n’a été observé.
L’enquête décrit une évolution des tactiques d’APT29: après des opérations antérieures (octobre 2024, usurpation de domaines AWS et hameçonnage via fichiers RDP; juin 2025, campagnes signalées par Google TAG exploitant des mots de passe d’application), l’acteur poursuit la collecte d’identifiants en perfectionnant sa chaîne de redirection et ses méthodes d’évasion.
Détails techniques: AWS a repéré l’activité via un analytique dédié à l’infrastructure d’APT29, permettant d’identifier des domaines opérés par l’acteur. Des sites compromis contenaient du JavaScript injecté qui redirigeait environ 10% des visiteurs vers ces domaines (p. ex. findcloudflare[.]com) imitant des pages Cloudflare, avant de viser le flux Microsoft Device Code. Face aux blocages, l’acteur est passé de redirections JavaScript à des redirections côté serveur et a rapidement pivoté vers de nouvelles infrastructures.
Efforts de perturbation: AWS a isolé des instances EC2 affectées, collaboré avec Cloudflare et d’autres fournisseurs pour neutraliser les domaines malveillants, et partagé des informations avec Microsoft. Malgré une migration de l’acteur vers un autre cloud, le suivi a continué, observant notamment l’enregistrement de cloudflare[.]redirectpartners[.]com pour relancer les tentatives d’autorisation d’appareils via le flux Microsoft.
Recommandations mentionnées: pour les utilisateurs, vigilance face aux chaînes de redirection déguisées en vérifications de sécurité, validation des demandes d’autorisation d’appareil, activation de la MFA, et méfiance envers les pages incitant à copier-coller des commandes (technique « ClickFix »). Pour les administrateurs, suivre les guides Microsoft sur les flux d’appareil et désactiver si inutile, appliquer des accès conditionnels, et renforcer la journalisation/surveillance des événements d’authentification, notamment lors de nouvelles autorisations d’appareil.
IOC(s):
- findcloudflare[.]com
- cloudflare[.]redirectpartners[.]com
TTP(s):
- Compromission de sites légitimes et injection de JavaScript obfusqué
- Redirection sélective (~10% des visiteurs) et usurpation de pages de vérification Cloudflare
- Ciblage du flux d’authentification Microsoft par code d’appareil pour autoriser des appareils contrôlés
- Evasion via encodage base64, cookies anti-répétition, passage de redirections JS à serveur, pivot rapide d’infrastructure
- Leurre incitant à exécuter des commandes (aligné avec la technique « ClickFix »)
Type d’article: analyse de menace; objectif principal: documenter la campagne, ses mécanismes, les indicateurs observés et les actions de perturbation menées par AWS.
🧠 TTPs et IOCs détectés
TTPs
[‘Compromission de sites légitimes et injection de JavaScript obfusqué’, ‘Redirection sélective (~10% des visiteurs) et usurpation de pages de vérification Cloudflare’, ‘Ciblage du flux d’authentification Microsoft par code d’appareil pour autoriser des appareils contrôlés’, ‘Evasion via encodage base64, cookies anti-répétition, passage de redirections JS à serveur, pivot rapide d’infrastructure’, ‘Leurre incitant à exécuter des commandes (aligné avec la technique « ClickFix »)’]
IOCs
[‘findcloudflare[.]com’, ‘cloudflare[.]redirectpartners[.]com’]
🔗 Source originale : https://aws.amazon.com/fr/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/