Espionnage numérique : Quand la Russie cible nos infrastructures

APT28 : Une Menace Contre les Entités Françaises

Publié le 29 avril 2025, le rapport de l’ANSSI CERTFR-2025-CTI-006 met en lumière les activités continues du groupe de cybercriminel APT28, ciblant activement des institutions françaises, européennes et nord-américaines.
La France condamne avec la plus grande fermeté l’utilisation du mode opératoire APT28 par le service de renseignement militaire russe (GRU).

L’ombre d’APT28 plane encore

Ce groupe également connu sous les noms Fancy Bear ou Sednit, actif depuis 2004, opère de manière soutenue depuis 2021 et mène des campagnes de cyberespionnage de grande envergure.

Dans le contexte de la guerre en Ukraine, ses actions se sont intensifiées encore en 2022, visant des institutions gouvernementales, des acteurs du secteur de la défense, des médias et des infrastructures critiques comme les Industries Électriques et Gazières (IEG), notamment en France.

Mode opératoire : entre phishing et vulnérabilités zero-day

Les attaques suivent une méthodologie précise :

• - Phishing et Spear-phishing, souvent via des e-mails contenant des liens malveillants.
• - Brute force sur des messageries web.
• - Exploitation de failles telles que CVE-2023-23397 (Microsoft Outlook).
• - Compromission d’équipements périphériques peu surveillés (routeurs, VPN, pare-feu).

Moyens utilisés : des outils à bas coût mais redoutables

APT28 exploite des infrastructures infogérées bon marché afin de rester discret et de brouiller les pistes en se fondant dans le trafic légitime:

• - Hébergement gratuit (InfinityFree)
• - VPN, messagerie temporaire, services comme MOCKY.IO

Campagnes d’attaque et d’espionnage notables identifiées

• - Exploitation de vulnérabilité des courriels via campagne de phishing pour voler le contenu de serveurs de messagerie ROUNDCUBE .
• - Diffusion du malware HeadLace (Remote Access Trojan) via des ZIP piégés.
• - Utilisation d’un stealer mis à jour nommé OceanMap déployé via des malware comme SteelHook et MasePie, pour exfiltrer des identifiants via IMAP.
• - Phishing sur UKR.NET, YAHOO, ZimbraMail ou Outlook Web Access, pour dérober des identifiants via de fausses pages de connexion.

Cibles françaises et européennes

Depuis 2021, les cibles de ces attaques en France incluent :

• - Des ministères et administrations publiques
• - Le secteur aérospatial et de la défense (BITD)
• - Des organisations de recherche et think tanks ( exploration de questions politiques, sociales et économiques)
• - Le secteur économique et financier

En 2024, l’accent semble mis sur les secteurs gouvernemental, diplomatique et académique.

Recommandations de l’ANSSI

L’ANSSI appelle à une vigilance accrue et à la mise en œuvre des mesures de sécurité suivantes :

• - Renforcement des contrôles d’accès et authentification multi-facteur
• - Surveillance renforcée des équipements périphériques
• - Application rapide des correctifs de sécurité
• - Sensibilisation aux campagnes de phishing sophistiquées

Mot de la fin

La meilleure défense commence par la connaissance.

Le rapport de l’ANSSI met en lumière l’ingéniosité et la persistance des groupes comme APT28, capables d’exploiter la moindre faille technique ou humaine.

Ces campagnes nous rappellent une vérité essentielle : la cybersécurité ne repose pas uniquement sur les outils, mais sur les femmes et les hommes qui les utilisent.

Pour faire face à des attaques toujours plus ciblées, la formation continue, la veille technologique active et l’entraînement régulier des équipes sont des piliers indispensables. Une organisation bien formée est une organisation résiliente, capable de détecter, réagir et se défendre efficacement. Former et informer vos collaborateurs, c’est renforcer votre première ligne de défense.

Ne laissez pas vos équipes sans préparation : investissez dans la connaissance, c’est la seule arme que les cyberattaquants ne pourront jamais vous voler.