APT28 : évolution du tradecraft sur deux décennies, de X-Agent à LameHug

🔍 Contexte

Publié le 11 juin 2026 par Sekoia Threat Detection & Research (TDR), cet article constitue une rétrospective analytique de deux décennies d’activité d’APT28 (alias Fancy Bear, Forest Blizzard, Sednit, GRU Unit 26165). Il s’inscrit dans un effort coordonné de publication impliquant des agences gouvernementales et des vendeurs privés, dont le FBI, visant à contraindre les opérations cyber du GRU.

🕰️ Ère 2004–2018 : La chaîne d’implants signature

APT28 opère une chaîne d’implants stable reposant sur :

SedKit (exploit kit) ou spear-phishing pour l’accès initial
Seduploader comme premier stage
X-Agent (keylogging, screenshot) comme backdoor principal
Sedreco (loader) et X-Tunnel (pivot réseau)

Incidents emblématiques : TV5Monde (avril 2015), Bundestag (mai 2015), WADA (août 2016), DCCC/DNC/campagne Clinton (mars–octobre 2016). Le playbook hack-and-leak est testé contre l’Ukraine dès 2014 via la persona Cyber Berkut.

🕳️ Ère 2015–2024 : Zebrocy et la période de silence post-Mueller

Zebrocy est introduit comme premier stage parallèle, réécrit en de multiples langages, ciblant ambassades et ministères des affaires étrangères en Europe de l’Est et Asie centrale. Attribution à confiance moyenne.

Après la publication du rapport Mueller en 2019, un gap de visibilité est observé. En parallèle, GooseEgg (utilitaire d’escalade de privilèges Windows) exploite CVE-2022-38028 (Windows Print Spooler) et est utilisé depuis au moins juin 2020, révélé seulement en 2024 par Microsoft — soit cinq ans d’écart entre usage opérationnel et divulgation publique.

🧩 Ère 2022–2024 : Modules jetables et exploitation Outlook

Rupture avec l’ère X-Agent : le toolkit est fragmenté en modules à usage unique :

HeadLace : backdoor multi-composants (CMD/VBS/BAT)
CredoMap : stealer de credentials navigateur
MASEPIE : downloader Python via WebDAV
OCEANMAP : backdoor C# avec C2 via drafts IMAP
STEELHOOK : script PowerShell ciblant les données Chromium

En parallèle, exploitation de CVE-2023-23397 (faille zero-click Outlook) pour capturer des hashes Net-NTLMv2 contre des cibles gouvernementales et militaires européennes (avril–décembre 2022, puis 2023–2024).

🌐 Ère 2023–2026 : Infrastructure déplacée vers les équipements edge

Shift structurel majeur : APT28 migre son infrastructure opérationnelle vers des routeurs SOHO et edge compromis.

Operation Dying Ember (FBI, 2024) : démantèlement d’un réseau de centaines de routeurs Ubiquiti infectés par MooBot, utilisés pour relayer des hashes NTLMv2, héberger des pages de phishing, et exfiltrer des credentials webmail.
FrostArmada (2026) : généralisation aux routeurs MikroTik et TP-Link. Les résolveurs DNS sont réécrits pour pointer vers des serveurs APT28. Trafic d’authentification Microsoft 365 intercepté via des nœuds Adversary-in-the-Middle. Pic en décembre 2025 : 18 000 IPs uniques dans 120+ pays, ~200 organisations et ~5 000 appareils consommateurs affectés.

🎣 Ère 2023–2025 : Collecte industrialisée contre cibles civiles ukrainiennes

Deux techniques complémentaires contre UKR.NET (utilisé par ~50% de la population ukrainienne) :

Phishing côté client : leurres Browser-in-the-Browser, exfiltration via Pipedream/Webhook.site, script Python sur routeurs Ubiquiti pour contourner la 2FA
Operation RoundPress (ESET, 2025) : exploitation de XSS dans des clients webmail (Roundcube, Horde, MDaemon, Zimbra) via payload SpyPress pour exfiltrer le contenu des boîtes mail

🔄 Ère 2024–2026 : Retour des implants signature — Operation Phantom Net Voxel

Retour d’une chaîne d’implants modulaire et durable :

Accès initial via documents Office weaponisés dans Signal Desktop (contournement Mark-of-the-Web)
Déploiement en mémoire d’un framework Covenant customisé
C2 via le service cloud légitime Koofr (fichiers chiffrés)
Escalade vers BeardShell (backdoor C++ avec C2 via API icedrive, puis Filen)
Slimagent : keylogger C++ avec lignée de code directe vers X-Agent

🤖 Ère 2025–2026 : LameHug — malware piloté par LLM

LameHug est le premier malware APT28 observé déléguant sa logique opérationnelle à un grand modèle de langage. Il interroge le modèle Alibaba Qwen 2.5-Coder-32B-Instruct via l’API Hugging Face Inference avec des prompts encodés en base64, exécute les commandes Windows retournées, et exfiltre via SFTP ou HTTP. Décrit comme preuve de concept, déployé contre des autorités gouvernementales exécutives ukrainiennes.

📋 Nature de l’article

Il s’agit d’une rétrospective analytique publiée par Sekoia TDR, visant à documenter l’évolution du tradecraft d’APT28 sur deux décennies à partir de sources open source, dans le cadre d’un effort coordonné de publication avec des agences gouvernementales.

🧠 TTPs et IOCs détectés

Acteurs de menace

APT28 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
APT29 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
T1566.002 — Phishing: Spearphishing Link (Initial Access)
T1078 — Valid Accounts (Defense Evasion)
T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
T1102 — Web Service (Command and Control)
T1557 — Adversary-in-the-Middle (Credential Access)
T1187 — Forced Authentication (Credential Access)
T1003 — OS Credential Dumping (Credential Access)
T1056.001 — Input Capture: Keylogging (Collection)
T1113 — Screen Capture (Collection)
T1114 — Email Collection (Collection)
T1041 — Exfiltration Over C2 Channel (Exfiltration)
T1567 — Exfiltration Over Web Service (Exfiltration)
T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
T1190 — Exploit Public-Facing Application (Initial Access)
T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
T1059.006 — Command and Scripting Interpreter: Python (Execution)
T1584.008 — Compromise Infrastructure: Network Devices (Resource Development)
T1090 — Proxy (Command and Control)
T1027 — Obfuscated Files or Information (Defense Evasion)
T1539 — Steal Web Session Cookie (Credential Access)
T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
T1588.002 — Obtain Capabilities: Tool (Resource Development)

IOC

CVEs : CVE-2022-38028 — NVD · CIRCL
CVEs : CVE-2023-23397 — NVD · CIRCL

Malware / Outils

X-Agent (backdoor)
X-Tunnel (tool)
Seduploader (loader)
Sedreco (loader)
SedKit (framework)
Zebrocy (backdoor)
GooseEgg (tool)
HeadLace (backdoor)
CredoMap (stealer)
MASEPIE (loader)
OCEANMAP (backdoor)
STEELHOOK (tool)
MooBot (botnet)
SpyPress (other)
BeardShell (backdoor)
Slimagent (tool)
LameHug (other)
Covenant (framework)
Mimikatz (tool)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

⬜ blog.sekoia.io — source non référencée (0pts)
✅ 20061 chars — texte complet (fulltext extrait) (15pts)
✅ 2 IOC(s) (6pts)
⬜ pas d’IOC vérifié (0pts)
✅ 26 TTPs MITRE identifiées (15pts)
✅ date extraite du HTML source (10pts)
✅ acteur(s) identifié(s) : APT28, APT29 (5pts)
⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://blog.sekoia.io/apt28-an-evolution-of-tradecraft/

🔍 Contexte#

🕰️ Ère 2004–2018 : La chaîne d’implants signature#

🕳️ Ère 2015–2024 : Zebrocy et la période de silence post-Mueller#

🧩 Ère 2022–2024 : Modules jetables et exploitation Outlook#

🌐 Ère 2023–2026 : Infrastructure déplacée vers les équipements edge#

🎣 Ère 2023–2025 : Collecte industrialisée contre cibles civiles ukrainiennes#

🔄 Ère 2024–2026 : Retour des implants signature — Operation Phantom Net Voxel#

🤖 Ère 2025–2026 : LameHug — malware piloté par LLM#

📋 Nature de l’article#

🧠 TTPs et IOCs détectés#

Acteurs de menace#

TTP#

IOC#

Malware / Outils#

🟡 Indice de vérification factuelle : 51/100 (moyenne)#