🔍 Contexte

Le 20 mars 2026, le FBI et la CISA ont publié conjointement une annonce de service public (PSA) via l’Internet Crime Complaint Center (IC3) pour alerter sur une campagne de phishing active attribuée à des acteurs liés aux Services de renseignement russes (RIS).

🎯 Cibles

La campagne cible des individus à haute valeur de renseignement, notamment :

  • Fonctionnaires américains actuels et anciens
  • Personnel militaire
  • Personnalités politiques
  • Journalistes

⚙️ Mode opératoire

Les acteurs RIS envoient des messages de phishing se faisant passer pour des comptes de support automatisé d’applications de messagerie (CMA). Les victimes sont incitées à :

  • Cliquer sur un lien malveillant
  • Fournir des codes de vérification ou des PINs de compte

Si la victime s’exécute, les attaquants obtiennent un accès non autorisé soit en ajoutant leur appareil comme appareil lié (linked device), soit via une prise de contrôle complète du compte. L’application Signal est spécifiquement ciblée, mais des méthodes similaires peuvent s’appliquer à d’autres CMAs.

📊 Impact

La campagne a entraîné un accès non autorisé à des milliers de comptes individuels. Après compromission, les acteurs peuvent :

  • Lire les messages et listes de contacts
  • Envoyer des messages au nom de la victime
  • Conduire des campagnes de phishing secondaires contre d’autres comptes

Les acteurs peuvent également recourir à des malwares pour infecter les victimes dans les phases ultérieures de la campagne.

📌 Note technique

L’article précise que le chiffrement des CMAs n’a pas été compromis — le phishing permet de contourner le chiffrement en accédant directement aux comptes utilisateurs.

📄 Type d’article

Il s’agit d’une alerte de sécurité officielle émise conjointement par le FBI et la CISA, visant à informer le public et les organisations sur une menace active, et à fournir des indicateurs comportementaux pour identifier et signaler les tentatives de phishing.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • RIS (Russian Intelligence Services) (state-sponsored)

TTP

  • T1566.004 — Phishing: Spearphishing via Service (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1530 — Data from Cloud Storage (Collection)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
  • T1598.004 — Phishing for Information: Spearphishing via Service (Reconnaissance)
  • T1621 — Multi-Factor Authentication Request Generation (Credential Access)

🔗 Source originale : https://www.ic3.gov/PSA/2026/PSA260320