Selon Ctrl-Alt-Intel, qui s’appuie sur les travaux initiaux de Hunt.io et des avis de CERT-UA et ESET, une erreur d’OPSEC d’APT28/FancyBear a exposé un open-directory sur un VPS NameCheap (203.161.50.145) opérant au moins depuis septembre 2024, révélant le code source C2, des payloads XSS, des modules d’exfiltration et des journaux détaillant des compromissions en Ukraine, Roumanie, Bulgarie, Grèce, Serbie et Macédoine du Nord.

Les chercheurs ont trouvé une seconde opendir sur le même serveur que celle décrite par Hunt.io (port 8889, janvier–mars 2026), contenant des preuves substantielles d’opérations en cours : plus de 2 800 emails exfiltrés, plus de 240 jeux d’identifiants (dont mots de passe et secrets TOTP 2FA), 140+ règles Sieve de redirection furtive, et 11 500+ contacts récoltés. L’infrastructure (zhblz[.]com ↔ 203.161.50.145) était déjà reliée par CERT-UA en 2024 à de l’exploitation de Roundcube (CVE-2023-43770) et à des leurres ClickFix.

Côté tradecraft, FancyBear a déployé des payloads XSS JavaScript pour Roundcube (worker.js, old_worker.js, scriptTaker.js) et un variant inédit pour SquirrelMail (worker2.js). Les scripts exécutés dans la session authentifiée volent des identifiants (auto-fill caché + modules dédiés), exfiltrent la boîte (Inbox/Sent en .eml via POST), extraient les secrets TOTP et codes de récupération (module keyTwoAuth.js), pillent le carnet d’adresses, et créent des règles Sieve (SystemProtect) redirigeant chaque email entrant vers des boîtes contrôlées par l’attaquant (principalement advenwolf@proton.me). Parallèlement, le C2 hébergeait des clones de pages Roundcube ciblant notamment la force aérienne roumaine (vol d’au moins une paire valide), ainsi que les composants ClickFix (reCAPTCHA Phish POC, HTA/PowerShell) mentionnés par CERT-UA.

L’analyse de la télémétrie (url.txt, 11 067 entrées) montre une campagne d’ampleur: 3 380 captures d’identifiants (244 victimes uniques), 143 règles Sieve réussies (majoritairement en Ukraine, puis Serbie, Roumanie, Bulgarie, Grèce), 516 extractions TOTP (dont 256 secrets valides) et 2 870 vols de carnets d’adresses (11 527 emails uniques sur 2 254 domaines). Les cibles clés incluent des parquets régionaux ukrainiens, la Romanian Air Force, le GEETHA grec, le Ministère serbe de la Défense, et des adresses liées à quatre pays de l’OTAN; un typosquat (gov.vppdr[.]com) a aussi servi de cible de redirection. Notable: l’absence de ManageSieve a fait échouer toutes les règles chez roaf.ro.

IOCs clés:

  • IP: 203.161.50.145 (C2 NameCheap VPS), 162.0.236.189 (gov.vppdr[.]com), 209.74.89.76 (mail.govmk[.]com)
  • Domaines: zhblz[.]com (C2/payloads/phishing), gov.vppdr[.]com (typosquat, destinataires Sieve/tests SquirrelMail)
  • Email: advenwolf@proton[.]me (boîte de collecte)
  • Chemins C2: /zJ2w9x (télémétrie GET), /zJ2w9x/uploadfile/ (exfil .eml), /worker (Roundcube), /worker2 (SquirrelMail), /addRedirectMailBox.js, /keyTwoAuth.js, /adbook.js, /getUserCredentials*.js

TTPs (MITRE ATT&CK) marquants:

  • Initial Access: T1566.002 (spearphishing lien/ClickFix)
  • Execution: T1059.007 (JavaScript), T1204.001 (User Execution via leurres)
  • Credential Access: T1056 (input capture), T1056.003 (web portal capture), T1539 (session cookie via contexte XSS), T1111 (MFA/TOTP)
  • Collection: T1114.002 (collecte email distante), T1114.003 (règle de transfert Sieve), T1560 (encodage/archivage)
  • Exfiltration/ C2: T1041 (exfil sur canal C2), T1071.001 (HTTPS), T1105 (ingress tool transfer)

Article de recherche en menace détaillant une campagne d’espionnage active, ses infrastructures, ses modules d’attaque et l’ampleur de l’impact.

🧠 TTPs et IOCs détectés

TTP

[‘T1566.002 (spearphishing lien/ClickFix)’, ‘T1059.007 (JavaScript)’, ‘T1204.001 (User Execution via leurres)’, ‘T1056 (input capture)’, ‘T1056.003 (web portal capture)’, ‘T1539 (session cookie via contexte XSS)’, ‘T1111 (MFA/TOTP)’, ‘T1114.002 (collecte email distante)’, ‘T1114.003 (règle de transfert Sieve)’, ‘T1560 (encodage/archivage)’, ‘T1041 (exfil sur canal C2)’, ‘T1071.001 (HTTPS)’, ‘T1105 (ingress tool transfer)’]

IOC

{‘ip’: [‘203.161.50.145’, ‘162.0.236.189’, ‘209.74.89.76’], ‘domain’: [‘zhblz[.]com’, ‘gov.vppdr[.]com’, ‘mail.govmk[.]com’], ’email’: [‘advenwolf@proton[.]me’]}

🔗 Source originale : https://ctrlaltintel.com/threat%20research/FancyBear/