APT28

🗓️ Contexte Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l’exploitation active de CVE-2026-32202, une vulnérabilité affectant le composant Windows Shell, initialement corrigée lors du Patch Tuesday d’avril 2026. 🔍 Détails de la vulnérabilité CVE-2026-32202 : score CVSS 4.3, classée comme « protection mechanism failure » permettant des attaques de spoofing via le réseau Nécessite une interaction utilisateur (ouverture d’un fichier malveillant) Permet l’accès à des informations sensibles partielles, sans modification de données ni perturbation de disponibilité Découverte par Maor Dahan (Akamai), identifiée comme remédiation incomplète de CVE-2026-21510 Le 27 avril 2026, Microsoft a révisé son advisory pour corriger la classification d’exploitabilité, le vecteur CVSS et le statut d’exploitation. ...

🔍 Contexte Publié le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article détaille la découverte d’une vulnérabilité résiduelle (CVE-2026-32202) résultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitée par le groupe APT28 (Fancy Bear). 🎯 Campagne initiale APT28 Selon CERT-UA, APT28 a lancé une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en décembre 2025. La campagne utilisait un fichier LNK weaponisé exploitant deux vulnérabilités en chaîne : ...

🗞️ Contexte Source : Politico EU — Article publié le 15 avril 2026. Le ministre suédois de la Défense civile, Carl-Oskar Bohlin, a tenu une conférence de presse à Stockholm pour alerter sur l’évolution des cyberattaques russes ciblant les infrastructures critiques européennes. ⚠️ Évolution de la menace Selon le ministre, les groupes pro-russes ont opéré un changement de tactique significatif : ils sont passés d’attaques par déni de service (DDoS) à des cyberattaques destructives visant des organisations en Europe. Ce changement est qualifié de comportement « plus risqué et plus imprudent » susceptible d’entraîner des dommages sociétaux réels. ...

🏛️ Contexte Le 7 avril 2026, le Département de Justice américain (DOJ) et le FBI ont publié un communiqué officiel annonçant la conclusion de l’Opération Masquerade, une opération technique autorisée par un tribunal visant à neutraliser un réseau de routeurs compromis sur le territoire américain. 🎯 Acteur de la menace L’opération cible l’Unité militaire 26165 du GRU (Direction principale du renseignement militaire russe), connue sous les alias APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear et Sednit. Cette unité est classifiée comme acteur étatique russe. ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

🗓️ Contexte Selon un rapport publié par Seqrite Labs et relayé par Security Affairs le 19 mars 2026, un groupe APT lié à la Russie — attribué avec une confiance modérée à APT28 (alias Fancy Bear, Sednit, STRONTIUM, UAC-0001) — mène une campagne d’espionnage ciblant des entités gouvernementales ukrainiennes via une vulnérabilité dans Zimbra Collaboration. 🎯 Campagne : Operation GhostMail La campagne, baptisée Operation GhostMail, exploite la vulnérabilité CVE-2025-66376 (CVSS 7.2), un stored XSS dans l’interface Classic UI de Zimbra, causé par une sanitisation insuffisante des directives CSS @import dans le contenu HTML des emails. ...

Selon Ctrl-Alt-Intel, qui s’appuie sur les travaux initiaux de Hunt.io et des avis de CERT-UA et ESET, une erreur d’OPSEC d’APT28/FancyBear a exposé un open-directory sur un VPS NameCheap (203.161.50.145) opérant au moins depuis septembre 2024, révélant le code source C2, des payloads XSS, des modules d’exfiltration et des journaux détaillant des compromissions en Ukraine, Roumanie, Bulgarie, Grèce, Serbie et Macédoine du Nord. Les chercheurs ont trouvé une seconde opendir sur le même serveur que celle décrite par Hunt.io (port 8889, janvier–mars 2026), contenant des preuves substantielles d’opérations en cours : plus de 2 800 emails exfiltrés, plus de 240 jeux d’identifiants (dont mots de passe et secrets TOTP 2FA), 140+ règles Sieve de redirection furtive, et 11 500+ contacts récoltés. L’infrastructure (zhblz[.]com ↔ 203.161.50.145) était déjà reliée par CERT-UA en 2024 à de l’exploitation de Roundcube (CVE-2023-43770) et à des leurres ClickFix. ...

Source: SecurityAffairs, relayant un rapport de l’Insikt Group (Recorded Future). Entre février et septembre 2025, le groupe lié au GRU russe APT28/BlueDelta a élargi ses opérations de vol d’identifiants en ciblant des personnels d’agences énergie/nucléaire en Turquie, des think tanks européens, ainsi que des organisations en Macédoine du Nord et en Ouzbékistan. Les campagnes reposaient sur des fausses pages de connexion imitant Microsoft Outlook Web Access (OWA), Google et Sophos VPN, avec redirection vers les sites légitimes après la capture des identifiants pour réduire la détection. Les attaquants ont privilégié des infrastructures à bas coût et jetables (hébergement gratuit, services de tunneling) et des leurres PDF légitimes (publications du Gulf Research Center et de l’EcoClimate Foundation/ECCO) pour renforcer la crédibilité et contourner les contrôles e-mail. ...

Selon The Phuket News, la Cyber Crime Investigation Bureau (CCIB) de Thaïlande a confirmé l’arrestation à Phuket d’un homme de 35 ans, après un signalement du FBI évoquant un « hacker de classe mondiale » lié à des attaques contre des institutions en Europe et aux États‑Unis. L’opération, conduite avec Phuket Immigration, la Region 8 CSD, la police provinciale, la Tourist Police, le Police Forensic Science Office et le Bureau du Procureur général, s’est appuyée sur un mandat d’arrêt dans le cadre de l’Extradition Act 2008 et un mandat de perquisition au sein d’un hôtel de Thalang. Du matériel a été saisi (ordinateurs portables, téléphones, « portefeuilles numériques ») et le suspect a été présenté pour extradition vers les États‑Unis, en présence d’agents du FBI comme observateurs. 🚓 ...