Forest Blizzard compromet des routeurs SOHO pour du DNS hijacking et des attaques AiTM
đ Contexte Source : Microsoft Threat Intelligence Blog, publiĂ© le 7 avril 2026. Cet article prĂ©sente une analyse technique dâune campagne active attribuĂ©e Ă Forest Blizzard (acteur liĂ© au renseignement militaire russe), active depuis au moins aoĂ»t 2025, impliquant la compromission massive de dispositifs SOHO (Small Office/Home Office). đŻ Acteurs et ciblage Forest Blizzard et son sous-groupe Storm-2754 sont les acteurs identifiĂ©s. Plus de 200 organisations et 5 000 appareils grand public ont Ă©tĂ© impactĂ©s. Secteurs ciblĂ©s : gouvernement, technologies de lâinformation, tĂ©lĂ©communications, Ă©nergie. Des attaques AiTM spĂ©cifiques ont visĂ© au moins trois organisations gouvernementales en Afrique. đ ChaĂźne dâattaque Compromission de routeurs SOHO : exploitation de dispositifs vulnĂ©rables pour modifier leur configuration DNS par dĂ©faut. DNS Hijacking : redirection des requĂȘtes DNS vers des rĂ©solveurs contrĂŽlĂ©s par lâacteur via lâoutil lĂ©gitime dnsmasq (port 53). Attaques AiTM sur TLS : dans un sous-ensemble de cas, lâacteur usurpe les rĂ©ponses DNS pour forcer les victimes Ă se connecter Ă une infrastructure malveillante prĂ©sentant un certificat TLS invalide imitant des services Microsoft. Interception de trafic : si la victime ignore lâavertissement de certificat invalide, lâacteur peut intercepter le trafic en clair, incluant potentiellement emails et contenus cloud. đ ïž Techniques observĂ©es Utilisation de dnsmasq pour la rĂ©solution DNS et lâĂ©coute sur le port 53. Proxying transparent des requĂȘtes DNS dans la majoritĂ© des cas. Usurpation ciblĂ©e de rĂ©ponses DNS pour des domaines spĂ©cifiques dans les cas dâAiTM. Ciblage des domaines Microsoft Outlook on the web pour les attaques AiTM M365. Exploitation des appareils edge en amont des cibles principales pour pivoter vers des environnements enterprise. đ Impact Collecte passive de trafic DNS Ă grande Ă©chelle. Interception potentielle dâemails et de contenus cloud. Aucun actif ou service Microsoft directement compromis selon la tĂ©lĂ©mĂ©trie. AccĂšs potentiel Ă des environnements cloud via des appareils SOHO dâemployĂ©s en tĂ©lĂ©travail. đ Type dâarticle Il sâagit dâune analyse de menace publiĂ©e par Microsoft Threat Intelligence, dont le but principal est de documenter les TTPs de Forest Blizzard dans cette campagne et de fournir des indicateurs de dĂ©tection et des requĂȘtes de chasse aux dĂ©fenseurs. ...