DNS Hijacking

🏛️ Contexte Le 7 avril 2026, le Département de Justice américain (DOJ) et le FBI ont publié un communiqué officiel annonçant la conclusion de l’Opération Masquerade, une opération technique autorisée par un tribunal visant à neutraliser un réseau de routeurs compromis sur le territoire américain. 🎯 Acteur de la menace L’opération cible l’Unité militaire 26165 du GRU (Direction principale du renseignement militaire russe), connue sous les alias APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear et Sednit. Cette unité est classifiée comme acteur étatique russe. ...

🏥 Contexte Publié le 8 avril 2026 par The Register, cet article rapporte la découverte par le chercheur Nick Hatter de plusieurs sous-domaines du namespace scot.nhs.uk compromis et utilisés pour héberger des liens vers du contenu adulte et des streams sportifs illégaux. 🔍 Domaines concernés Domaine compromis (The New Surgery, Kilmacolm) : thenewsurgery-kilmacolm-langbank.scot.nhs.uk — ancien domaine du cabinet, non utilisé depuis au moins 2019 Domaine compromis (Lerwick GP Practice, Shetland) : domaine actuellement en usage par le cabinet, servant des liens illicites Des liens malveillants ont été indexés par Google, certains créés dès janvier 2026 ⚙️ Vecteur d’attaque suspecté Les requêtes dig montrent que les domaines NHS pointent correctement vers WP Engine, suggérant que la compromission est intervenue côté WordPress (CMS). Les hypothèses avancées incluent : ...

🌐 Contexte Source : Microsoft Threat Intelligence Blog, publié le 7 avril 2026. Cet article présente une analyse technique d’une campagne active attribuée à Forest Blizzard (acteur lié au renseignement militaire russe), active depuis au moins août 2025, impliquant la compromission massive de dispositifs SOHO (Small Office/Home Office). 🎯 Acteurs et ciblage Forest Blizzard et son sous-groupe Storm-2754 sont les acteurs identifiés. Plus de 200 organisations et 5 000 appareils grand public ont été impactés. Secteurs ciblés : gouvernement, technologies de l’information, télécommunications, énergie. Des attaques AiTM spécifiques ont visé au moins trois organisations gouvernementales en Afrique. 🔗 Chaîne d’attaque Compromission de routeurs SOHO : exploitation de dispositifs vulnérables pour modifier leur configuration DNS par défaut. DNS Hijacking : redirection des requêtes DNS vers des résolveurs contrôlés par l’acteur via l’outil légitime dnsmasq (port 53). Attaques AiTM sur TLS : dans un sous-ensemble de cas, l’acteur usurpe les réponses DNS pour forcer les victimes à se connecter à une infrastructure malveillante présentant un certificat TLS invalide imitant des services Microsoft. Interception de trafic : si la victime ignore l’avertissement de certificat invalide, l’acteur peut intercepter le trafic en clair, incluant potentiellement emails et contenus cloud. 🛠️ Techniques observées Utilisation de dnsmasq pour la résolution DNS et l’écoute sur le port 53. Proxying transparent des requêtes DNS dans la majorité des cas. Usurpation ciblée de réponses DNS pour des domaines spécifiques dans les cas d’AiTM. Ciblage des domaines Microsoft Outlook on the web pour les attaques AiTM M365. Exploitation des appareils edge en amont des cibles principales pour pivoter vers des environnements enterprise. 📊 Impact Collecte passive de trafic DNS à grande échelle. Interception potentielle d’emails et de contenus cloud. Aucun actif ou service Microsoft directement compromis selon la télémétrie. Accès potentiel à des environnements cloud via des appareils SOHO d’employés en télétravail. 📄 Type d’article Il s’agit d’une analyse de menace publiée par Microsoft Threat Intelligence, dont le but principal est de documenter les TTPs de Forest Blizzard dans cette campagne et de fournir des indicateurs de détection et des requêtes de chasse aux défenseurs. ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...

Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant réseau utilisé par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via détournement DNS, permettant l’hijacking d’infrastructures de mises à jour et le déploiement du backdoor SlowStepper. • Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et aligné Chine, mène des opérations d’espionnage contre des cibles en Chine, Taïwan, Hong Kong, Cambodge, Corée du Sud, États‑Unis et Nouvelle‑Zélande. Le groupe utilise la porte dérobée SlowStepper et obtient l’accès initial en d détournant des mises à jour logicielles via un implant réseau (EdgeStepper). ESET a aussi observé l’exploitation de vulnérabilités de serveurs web et une attaque de chaîne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises à jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectés de manière similaire). ...