Forest Blizzard compromet des routeurs SOHO pour du DNS hijacking et des attaques AiTM

🌐 Contexte

Source : Microsoft Threat Intelligence Blog, publié le 7 avril 2026. Cet article présente une analyse technique d’une campagne active attribuée à Forest Blizzard (acteur lié au renseignement militaire russe), active depuis au moins août 2025, impliquant la compromission massive de dispositifs SOHO (Small Office/Home Office).

🎯 Acteurs et ciblage

• Forest Blizzard et son sous-groupe Storm-2754 sont les acteurs identifiés.
• Plus de 200 organisations et 5 000 appareils grand public ont été impactés.
• Secteurs ciblés : gouvernement, technologies de l’information, télécommunications, énergie.
• Des attaques AiTM spécifiques ont visé au moins trois organisations gouvernementales en Afrique.

🔗 Chaîne d’attaque

1. Compromission de routeurs SOHO : exploitation de dispositifs vulnérables pour modifier leur configuration DNS par défaut.
2. DNS Hijacking : redirection des requêtes DNS vers des résolveurs contrôlés par l’acteur via l’outil légitime dnsmasq (port 53).
3. Attaques AiTM sur TLS : dans un sous-ensemble de cas, l’acteur usurpe les réponses DNS pour forcer les victimes à se connecter à une infrastructure malveillante présentant un certificat TLS invalide imitant des services Microsoft.
4. Interception de trafic : si la victime ignore l’avertissement de certificat invalide, l’acteur peut intercepter le trafic en clair, incluant potentiellement emails et contenus cloud.

🛠️ Techniques observées

• Utilisation de dnsmasq pour la résolution DNS et l’écoute sur le port 53.
• Proxying transparent des requêtes DNS dans la majorité des cas.
• Usurpation ciblée de réponses DNS pour des domaines spécifiques dans les cas d’AiTM.
• Ciblage des domaines Microsoft Outlook on the web pour les attaques AiTM M365.
• Exploitation des appareils edge en amont des cibles principales pour pivoter vers des environnements enterprise.

📊 Impact

• Collecte passive de trafic DNS à grande échelle.
• Interception potentielle d’emails et de contenus cloud.
• Aucun actif ou service Microsoft directement compromis selon la télémétrie.
• Accès potentiel à des environnements cloud via des appareils SOHO d’employés en télétravail.

📄 Type d’article

Il s’agit d’une analyse de menace publiée par Microsoft Threat Intelligence, dont le but principal est de documenter les TTPs de Forest Blizzard dans cette campagne et de fournir des indicateurs de détection et des requêtes de chasse aux défenseurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Forest Blizzard (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Storm-2754 (state-sponsored) —

TTP

• T1584.008 — Compromise Infrastructure: Network Devices (Resource Development)
• T1599.001 — Network Boundary Bridging: Network Address Translation Traversal (Defense Evasion)
• T1557 — Adversary-in-the-Middle (Credential Access)
• T1557.002 — Adversary-in-the-Middle: ARP Cache Poisoning (Credential Access)
• T1071.004 — Application Layer Protocol: DNS (Command and Control)
• T1590.002 — Gather Victim Network Information: DNS (Reconnaissance)
• T1565.002 — Data Manipulation: Transmitted Data Manipulation (Impact)
• T1040 — Network Sniffing (Credential Access)
• T1556 — Modify Authentication Process (Credential Access)
• T1078 — Valid Accounts (Defense Evasion)

Malware / Outils

• dnsmasq (tool)

🟢 Indice de vérification factuelle : 65/100 (haute)

• ✅ microsoft.com — source reconnue (liste interne) (20pts)
• ✅ 15757 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 10 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Forest Blizzard, Storm-2754 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/