🏛️ Contexte

Le 7 avril 2026, le Département de Justice américain (DOJ) et le FBI ont publié un communiqué officiel annonçant la conclusion de l’Opération Masquerade, une opération technique autorisée par un tribunal visant à neutraliser un réseau de routeurs compromis sur le territoire américain.

🎯 Acteur de la menace

L’opération cible l’Unité militaire 26165 du GRU (Direction principale du renseignement militaire russe), connue sous les alias APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear et Sednit. Cette unité est classifiée comme acteur étatique russe.

🔧 Méthode d’attaque

Depuis au moins 2024, les acteurs du GRU ont :

  • Exploité des vulnérabilités connues pour voler des identifiants sur des milliers de routeurs TP-Link dans le monde
  • Accédé sans autorisation aux routeurs compromis et manipulé leurs paramètres DNS pour rediriger les requêtes vers des serveurs DNS contrôlés par le GRU
  • Mis en place un processus de filtrage automatisé pour identifier les requêtes DNS d’intérêt
  • Fourni des enregistrements DNS frauduleux imitant des services légitimes (dont Microsoft Outlook Web Access) pour mener des attaques Actor-in-the-Middle (AiTM)
  • Collecté des mots de passe en clair, tokens d’authentification, emails et informations sensibles depuis les appareils du réseau compromis

🌐 Périmètre

  • Routeurs affectés dans plus de 23 États américains
  • Cibles mondiales dans les secteurs militaire, gouvernemental et infrastructures critiques
  • Opération judiciaire menée dans le District Est de Pennsylvanie

⚙️ Réponse opérationnelle

Le FBI a développé une série de commandes envoyées aux routeurs compromis aux États-Unis pour :

  • Collecter des preuves sur l’activité des acteurs GRU
  • Réinitialiser les paramètres DNS (suppression des résolveurs DNS malveillants)
  • Empêcher les acteurs GRU d’exploiter les vecteurs d’accès initiaux

L’opération a été conduite par le FBI Boston et Philadelphia Field Offices, le Cyber Division du FBI, l’USAO Eastern District of Pennsylvania et la National Security Division. Les contributions techniques ont été apportées par Black Lotus Labs (Lumen), Microsoft Threat Intelligence et MIT Lincoln Laboratory.

📋 Type d’article

Communiqué officiel du DOJ — opération de police judiciaire à caractère technique, visant à informer le public et les partenaires de la neutralisation d’une infrastructure malveillante étatique russe.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1584.001 — Compromise Infrastructure: Domains (Resource Development)
  • T1557 — Adversary-in-the-Middle (Collection)
  • T1040 — Network Sniffing (Credential Access)
  • T1110 — Brute Force (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1565.002 — Data Manipulation: Transmitted Data Manipulation (Impact)
  • T1071.004 — Application Layer Protocol: DNS (Command and Control)
  • T1583.002 — Acquire Infrastructure: DNS Server (Resource Development)
  • T1190 — Exploit Public-Facing Application (Initial Access)

🔗 Source originale : https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-dns-hijacking-network-controlled