APT28

📋 Contexte : Le rapport d’activité 2025 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été publié le 9 mai 2026 sur cyber.gouv.fr. Il couvre l’ensemble des activités de l’agence française de cyberdéfense pour l’année 2025, incluant les opérations, la réglementation, la coopération internationale et les travaux technologiques. 🎯 Faits marquants opérationnels : Le 29 avril 2025, la France a, pour la première fois, attribué publiquement un ensemble de cyberattaques au renseignement militaire russe (GRU), via le mode opératoire APT28. Cette attribution a été portée par le ministre de l’Europe et des Affaires étrangères et s’appuie sur des travaux techniques du Centre de coordination des crises cyber (C4) (ANSSI, COMCYBER, DGA, DGSE, DGSI, MEAE). La victimologie française des campagnes APT28 en 2024 comprenait des entités des secteurs gouvernemental, diplomatique et de la recherche. ...

🗞️ Contexte Article publié le 7 mai 2026 par The Guardian, dans le cadre d’une enquête exclusive menée par un consortium de six médias (Guardian, Der Spiegel, Le Monde, The Insider, Delfi, VSquare), basée sur plus de 2 000 documents internes de l’université Bauman de Moscou couvrant plusieurs années d’activité jusqu’en 2025. 🏫 Le programme secret : Département 4 Au sein de l’université Bauman Moscow State Technical University, un département confidentiel baptisé Département 4 (ou « Special Training ») forme discrètement des étudiants sélectionnés pour intégrer le GRU (Direction du renseignement militaire russe). Ce département est divisé en trois filières spécialisées, dont la principale porte le code 093400 intitulée « Special Reconnaissance Service ». ...

🗓️ Contexte Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l’exploitation active de CVE-2026-32202, une vulnérabilité affectant le composant Windows Shell, initialement corrigée lors du Patch Tuesday d’avril 2026. 🔍 Détails de la vulnérabilité CVE-2026-32202 : score CVSS 4.3, classée comme « protection mechanism failure » permettant des attaques de spoofing via le réseau Nécessite une interaction utilisateur (ouverture d’un fichier malveillant) Permet l’accès à des informations sensibles partielles, sans modification de données ni perturbation de disponibilité Découverte par Maor Dahan (Akamai), identifiée comme remédiation incomplète de CVE-2026-21510 Le 27 avril 2026, Microsoft a révisé son advisory pour corriger la classification d’exploitabilité, le vecteur CVSS et le statut d’exploitation. ...

🔍 Contexte Publié le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article détaille la découverte d’une vulnérabilité résiduelle (CVE-2026-32202) résultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitée par le groupe APT28 (Fancy Bear). 🎯 Campagne initiale APT28 Selon CERT-UA, APT28 a lancé une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en décembre 2025. La campagne utilisait un fichier LNK weaponisé exploitant deux vulnérabilités en chaîne : ...

🗞️ Contexte Source : Politico EU — Article publié le 15 avril 2026. Le ministre suédois de la Défense civile, Carl-Oskar Bohlin, a tenu une conférence de presse à Stockholm pour alerter sur l’évolution des cyberattaques russes ciblant les infrastructures critiques européennes. ⚠️ Évolution de la menace Selon le ministre, les groupes pro-russes ont opéré un changement de tactique significatif : ils sont passés d’attaques par déni de service (DDoS) à des cyberattaques destructives visant des organisations en Europe. Ce changement est qualifié de comportement « plus risqué et plus imprudent » susceptible d’entraîner des dommages sociétaux réels. ...

🏛️ Contexte Le 7 avril 2026, le Département de Justice américain (DOJ) et le FBI ont publié un communiqué officiel annonçant la conclusion de l’Opération Masquerade, une opération technique autorisée par un tribunal visant à neutraliser un réseau de routeurs compromis sur le territoire américain. 🎯 Acteur de la menace L’opération cible l’Unité militaire 26165 du GRU (Direction principale du renseignement militaire russe), connue sous les alias APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear et Sednit. Cette unité est classifiée comme acteur étatique russe. ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

🗓️ Contexte Selon un rapport publié par Seqrite Labs et relayé par Security Affairs le 19 mars 2026, un groupe APT lié à la Russie — attribué avec une confiance modérée à APT28 (alias Fancy Bear, Sednit, STRONTIUM, UAC-0001) — mène une campagne d’espionnage ciblant des entités gouvernementales ukrainiennes via une vulnérabilité dans Zimbra Collaboration. 🎯 Campagne : Operation GhostMail La campagne, baptisée Operation GhostMail, exploite la vulnérabilité CVE-2025-66376 (CVSS 7.2), un stored XSS dans l’interface Classic UI de Zimbra, causé par une sanitisation insuffisante des directives CSS @import dans le contenu HTML des emails. ...

Selon Ctrl-Alt-Intel, qui s’appuie sur les travaux initiaux de Hunt.io et des avis de CERT-UA et ESET, une erreur d’OPSEC d’APT28/FancyBear a exposé un open-directory sur un VPS NameCheap (203.161.50.145) opérant au moins depuis septembre 2024, révélant le code source C2, des payloads XSS, des modules d’exfiltration et des journaux détaillant des compromissions en Ukraine, Roumanie, Bulgarie, Grèce, Serbie et Macédoine du Nord. Les chercheurs ont trouvé une seconde opendir sur le même serveur que celle décrite par Hunt.io (port 8889, janvier–mars 2026), contenant des preuves substantielles d’opérations en cours : plus de 2 800 emails exfiltrés, plus de 240 jeux d’identifiants (dont mots de passe et secrets TOTP 2FA), 140+ règles Sieve de redirection furtive, et 11 500+ contacts récoltés. L’infrastructure (zhblz[.]com ↔ 203.161.50.145) était déjà reliée par CERT-UA en 2024 à de l’exploitation de Roundcube (CVE-2023-43770) et à des leurres ClickFix. ...