Une opération internationale menée par des autorités judiciaires et des entreprises privées a mis un terme aux activités de FrostArmada, une campagne du groupe de menaces APT28 qui détournait le trafic local sur des routeurs de marque MikroTik et TP-Link pour s’emparer des identifiants de comptes Microsoft.
Ce groupe, également connu sous les noms de Fancy Bear ou Sofacy, est associé à l’unité militaire 26165 de la Direction générale du renseignement de l’état-major russe (GRU). Les attaques de FrostArmada ont principalement visé des routeurs de petit bureau ou domicile (SOHO), modifiant les paramètres du système de noms de domaine (DNS) pour les rediriger vers des serveurs privés virtuels (VPS) contrôlés par les attaquants.
Cette manipulation a permis à APT28 d’intercepter le trafic d’authentification vers des domaines ciblés, récupérant ainsi des identifiants Microsoft et des jetons OAuth. À son apogée, en décembre 2025, FrostArmada avait infecté environ 18 000 appareils dans 120 pays, en s’en prenant principalement à des agences gouvernementales, des forces de l’ordre, ainsi qu’à des fournisseurs de services informatiques et d’hébergement.
Pour contrer cette menace, Microsoft a collaboré avec Black Lotus Labs, la division de recherche en cybersécurité de Lumen, afin de cartographier l’activité malveillante. Avec l’aide du FBI, du Département de la justice des États-Unis et du gouvernement polonais, l’infrastructure compromise a finalement été mise hors ligne.
Activités de FrostArmada
Les attaquants ont ciblé des routeurs exposés à Internet, tout particulièrement ceux de MikroTik et TP-Link, ainsi que des pare-feu de marques telles que Nethesis et d’anciens modèles de Fortinet. Une fois compromis, ces dispositifs communiquaient avec l’infrastructure des attaquants et recevaient des modifications de configuration DNS qui redirigeaient le trafic vers des nœuds VPS malveillants.
Les nouveaux paramètres DNS étaient automatiquement appliqués aux dispositifs internes via le protocole de configuration dynamique de l’hôte (DHCP). Lorsqu’un client interrogeait des domaines d’authentification ciblés, le serveur DNS renvoyait l’adresse IP de l’attaquant au lieu de celle légitime, dirigeant les victimes vers un proxy en attaque de l’homme du milieu (AitM).
Source: Black Lotus Labs
Pour les victimes, le seul indicateur d’une fraude aurait été un avertissement concernant un certificat TLS invalide, qui aurait pu facilement être ignoré. En ignorant cet avertissement, l’attaquant pouvait accéder à la communication Internet non cryptée de la victime.
Selon les chercheurs de Black Lotus Labs, l’acteur a essentiellement opéré un service proxy en tant qu’AitM, redirigeant les utilisateurs vers celui-ci via DNS. L’unique signe de l’attaque aurait été une alerte pop-up concernant une connexion à une source non fiable dû à une configuration de « break and inspect ».
Des cas ont été rapportés où les hackers ont même falsifié les réponses DNS pour certains domaines, forçant ainsi les points de terminaison affectés à se connecter à l’infrastructure des attaquants, comme l’indique un rapport de Microsoft.
Les chercheurs de Lumen ont noté que FrostArmada fonctionnait avec deux clusters distincts : l’un, nommé « Expansion team », se concentrant sur la compromission des dispositifs et la croissance du botnet, et l’autre s’occupant des opérations AitM et de collecte d’identifiants.
Source: Black Lotus Labs
Une augmentation de l’activité de FrostArmada a été observée après un rapport de 2025 émis par le Centre national de cybersécurité (NCSC) du Royaume-Unis, décrivant un ensemble d’outils Forest Blizzard ciblant les identifiants et les jetons de compte Microsoft.
Des attaques AitM ont également été confirmées sur des sous-domaines des services Microsoft 365, notamment sur des serveurs d’organisations gouvernementales en Afrique qui n’étaient pas hébergés sur l’infrastructure de Microsoft. Dans ces cas, « Forest Blizzard a intercepté les requêtes DNS et effectué des collectes subséquentes. »
Black Lotus Labs a aussi rapporté que le groupe ciblait des entités disposant de serveurs de messagerie sur site et un nombre restreint d’organisations gouvernementales en Afrique du Nord, en Amérique centrale, et en Asie du Sud-Est.
Les chercheurs soulignent une connexion avec une plateforme d’identité nationale dans un pays européen. Le rapport du NCSC indique que l’activité AitM a impacté à la fois les sessions de navigateur et les applications de bureau, et que le détournement de DNS semble avoir été de nature opportuniste, visant à constituer un vaste pool de cibles potentielles avant de les filtrer.
Pour aider à identifier ces attaques, Black Lotus Labs a publié un ensemble réduit d’indicateurs de compromission concernant les serveurs VPS utilisés durant la campagne FrostArmada :
| Adresse IP | Première vue | Dernière vue |
|---|---|---|
| 64.120.31[.]96 | 19 mai 2025 | 31 mars 2026 |
| 79.141.160[.]78 | 19 juillet 2025 | 31 mars 2026 |
| 23.106.120[.]119 | 19 juillet 2025 | 31 mars 2026 |
| 79.141.173[.]211 | 19 juillet 2025 | 31 mars 2026 |
| 185.117.89[.]32 | 9 septembre 2025 | 9 septembre 2025 |
| 185.237.166[.]55 | 30 décembre 2025 | 30 décembre 2025 |
Les spécialistes recommandent de mettre en œuvre un verrouillage de certificats pour les dispositifs d’entreprise (ordinateurs portables, téléphones mobiles) gérés via une solution MDM afin de générer une erreur lorsque l’attaquant tente d’intercepter et d’analyser le trafic sur son infrastructure VPS.
Ils conseillent également de réduire la surface d’attaque en appliquant des correctifs, en limitant l’exposition sur le web public et en retirant tout équipement en fin de vie. Microsoft et le NCSC fournissent également des listes d’Icônes de Compromission (IoCs) et des recommandations pour aider à identifier et prévenir les attaques de détournement de DNS.