Source: SecurityAffairs, relayant un rapport de l’Insikt Group (Recorded Future). Entre février et septembre 2025, le groupe lié au GRU russe APT28/BlueDelta a élargi ses opérations de vol d’identifiants en ciblant des personnels d’agences énergie/nucléaire en Turquie, des think tanks européens, ainsi que des organisations en Macédoine du Nord et en Ouzbékistan.
Les campagnes reposaient sur des fausses pages de connexion imitant Microsoft Outlook Web Access (OWA), Google et Sophos VPN, avec redirection vers les sites légitimes après la capture des identifiants pour réduire la détection. Les attaquants ont privilégié des infrastructures à bas coût et jetables (hébergement gratuit, services de tunneling) et des leurres PDF légitimes (publications du Gulf Research Center et de l’EcoClimate Foundation/ECCO) pour renforcer la crédibilité et contourner les contrôles e-mail.
Faits marquants des campagnes:
- Février 2025: déploiement de pages OWA usurpées via des liens raccourcis et Webhook[.]site. Affichage d’un PDF leurre puis redirection vers la fausse page; collecte d’e-mails, mots de passe, IP, user-agent via HTML/JS cachés, puis renvoi vers le PDF réel.
- Itérations ultérieures: scripts mis à jour, leurres en turc et cibles liées à la recherche énergétique.
- 4 juin 2025: page Sophos VPN “réinitialisation mot de passe” hébergée sur un domaine InfinityFree; JavaScript extrait un identifiant unique de l’URL, envoie les données à des endpoints contrôlés par l’attaquant, puis redirige vers le portail VPN légitime visé.
- Septembre 2025: pages OWA “mot de passe expiré” sur des domaines InfinityFree, redirigeant vers les pages de connexion légitimes d’une organisation militaire de Macédoine du Nord et d’une entreprise IT en Ouzbékistan.
- Avril 2025: pages Google “réinitialisation de mot de passe” en portugais sur des domaines Byet Internet Services et InfinityFree, utilisant ngrok pour l’exfiltration; réutilisation de techniques (formulaires cachés, validation JS, redirections en étapes). L’Insikt Group attribue probablement cette activité à BlueDelta au vu des chevauchements d’infrastructure et de tradecraft.
IOCs observés (extraits de l’article):
- Infrastructure/services utilisés: Webhook[.]site, InfinityFree, Byet Internet Services, ngrok.
- Thèmes/leurres: OWA, Google, Sophos VPN; PDFs du Gulf Research Center et de l’EcoClimate Foundation/ECCO.
TTPs (MITRE ATT&CK):
- T1566 Phishing: pages de connexion usurpées (OWA/Google/VPN) + liens raccourcis.
- T1056/Input Capture & T1114/Exfil: HTML/JS cachés, balises/beacons pour extraire e-mail, mot de passe, IP, user-agent; exfiltration via ngrok/webhooks.
- T1102/T1071 C2/exfil: webhook endpoints et tunneling (ngrok) pour acheminer les données.
- T1583/T1584 Acquisition/Usage d’infra: hébergement gratuit et domaines jetables (InfinityFree/Byet).
- T1204/T1207 Ingénierie sociale: PDFs légitimes comme leurres; redirections vers sites officiels après vol pour réduire la détection; localisation linguistique (turc, portugais).
En résumé, il s’agit d’une analyse de menace détaillant l’extension en 2025 des campagnes de credential-harvesting d’APT28/BlueDelta, leurs cibles prioritaires et l’emploi d’une infrastructure gratuite, discrète et facilement remplaçable.
🧠 TTPs et IOCs détectés
TTPs
[‘T1566 Phishing: pages de connexion usurpées (OWA/Google/VPN) + liens raccourcis’, ‘T1056/Input Capture & T1114/Exfil: HTML/JS cachés, balises/beacons pour extraire e-mail, mot de passe, IP, user-agent; exfiltration via ngrok/webhooks’, ‘T1102/T1071 C2/exfil: webhook endpoints et tunneling (ngrok) pour acheminer les données’, ‘T1583/T1584 Acquisition/Usage d’infra: hébergement gratuit et domaines jetables (InfinityFree/Byet)’, ‘T1204/T1207 Ingénierie sociale: PDFs légitimes comme leurres; redirections vers sites officiels après vol pour réduire la détection; localisation linguistique (turc, portugais)’]
IOCs
[‘Webhook[.]site’, ‘InfinityFree’, ‘Byet Internet Services’, ’ngrok’]
🔗 Source originale : https://securityaffairs.com/186801/apt/credential-harvesting-attacks-by-apt28-hit-turkish-european-and-central-asian-organizations.html