🏛️ Contexte

Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS).

🎯 Nature de l’attaque

Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter :

  • Mots de passe
  • Tokens OAuth
  • Autres identifiants liés à des services web et email

Les opérations sont décrites comme opportunistes : l’acteur cible un large bassin de victimes potentielles, puis filtre progressivement pour identifier les utilisateurs présentant une valeur de renseignement.

🔧 Méthodes techniques

Cluster 1 :

  • Modification des paramètres DNS DHCP sur des routeurs SOHO compromis
  • Les appareils en aval (laptops, téléphones) héritent des paramètres malveillants
  • Les requêtes DNS ciblant des services email ou pages de connexion sont résolues vers des IP malveillantes
  • Les autres requêtes sont résolues normalement (pour éviter la détection)
  • Attaques AitM sur sessions navigateur et applications desktop

Cluster 2 :

  • Serveurs recevant des requêtes DNS via des routeurs MikroTik et TP-Link compromis
  • Requêtes transférées vers des serveurs distants contrôlés par l’acteur
  • Opérations interactives ciblant des routeurs MikroTik, souvent localisés en Ukraine

🛠️ Vulnérabilité exploitée

Le routeur TP-Link WR841N a été exploité via CVE-2023-50224, permettant à un attaquant non authentifié d’obtenir des identifiants via des requêtes HTTP GET spécialement forgées, puis de modifier les paramètres DNS DHCP du routeur.

🌐 Domaines ciblés

Les domaines Outlook suivants ont été redirigés vers l’infrastructure AitM :

  • autodiscover-s.outlook.com
  • imap-mail.outlook.com
  • outlook.live.com
  • outlook.office.com
  • outlook.office365.com

🖥️ Infrastructure malveillante

Deux clusters d’infrastructure VPS ont été identifiés, utilisant dnsmasq-2.85 sur le port UDP 53, avec des bannières SSH distinctives sur les ports TCP 56777 (cluster 1) et 35681 (cluster 2). Plus de 150 adresses IP malveillantes sont documentées.

📋 Type d’article

Il s’agit d’une alerte de sécurité officielle publiée par le NCSC, destinée aux professionnels de la cybersécurité et aux grandes organisations, visant à exposer les TTPs d’APT28 et à fournir des indicateurs de compromission exploitables.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1583.002 — Acquire Infrastructure: DNS Server (Resource Development)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1584.008 — Compromise Infrastructure: Network Devices (Resource Development)
  • T1586 — Compromise Accounts (Resource Development)
  • T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)

IOC

Malware / Outils

  • dnsmasq (tool)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ ncsc.gov.uk — source reconnue (liste interne) (20pts)
  • ✅ 15725 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 188 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/6 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : APT28 (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 5.226.137.151 (ip) → VT (4/94 détections)
  • 5.226.137.230 (ip) → VT (4/94 détections)
  • 5.226.137.231 (ip) → VT (7/94 détections)

🔗 Source originale : https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations