[ANALYSE TECHNIQUE] Campagne FrostArmada : Démantèlement d'un réseau de DNS Hijacking piloté par APT28

Bonjour à tous,
En complément des récentes dépêches, je vous propose une plongée technique dans l'opération "FrostArmada". Ce réseau, neutralisé début avril 2026 par une coalition internationale (FBI, NCSC, Microsoft Threat Intelligence), illustre une maîtrise avancée de l'exploitation de la bordure (Edge) à des fins d'espionnage cyber.
Contrairement aux botnets classiques (type Mirai) visant le DDoS, FrostArmada est une infrastructure Adversary-in-the-Middle (AitM) furtive dont l'objectif unique était l'exfiltration de jetons de session OAuth et d'identifiants Microsoft 365.
1. Vecteurs d'Infection et Exploitation de la "Longue Traîne"
Le groupe APT28 (aka Forest Blizzard/Fancy Bear) a capitalisé sur une surface d'attaque hétérogène, exploitant environ 18 000 terminaux dans 120 pays. L'analyse forensique révèle l'usage de deux vulnérabilités majeures sur les parcs non maintenus :

• TP-Link (Focus WR841N) : Usage massif de la CVE-2023-50224 (Authentication Bypass via spoofing) permettant l'extraction de credentials système, couplée plus récemment à la CVE-2025-9377 (OS Command Injection) pour le déploiement de scripts de persistance.
  
• MikroTik (RouterOS) : Si les versions v7.x sont plus résilientes, le parc reste vulnérable via des versions 6.x obsolètes (exploitation de la CVE-2018-14847 pour la lecture de fichiers arbitraires) ou, plus simplement, par brute-force sur l'API (port 8728) ou SSH sur les instances laissant l'utilisateur admin par défaut.
  
  2. Mécanisme de Redirection Chirurgicale
  C'est ici que l'expertise de l'attaquant se démarque. Au lieu de détourner tout le trafic (ce qui saturerait leur infrastructure C2), les attaquants injectent une configuration DNS conditionnelle :
  
  
• Manipulation DHCP : Le routeur compromis modifie l'option 6 du DHCP pour forcer l'usage d'un VPS malveillant comme résolveur DNS primaire pour tous les clients du LAN.
  
• Filtrage sélectif : Le résolveur d'APT28 agit comme un proxy DNS "intelligent". Pour 99% du trafic, il renvoie les IP légitimes. Mais dès qu'une requête cible un domaine d'authentification (ex: https://www.google.com/search?q=login.microsoftonline.com), il renvoie l'IP d'un proxy AitM sous contrôle du GRU.
  

3. Impact et Signaux Faibles
L'attaque est virtuellement invisible pour l'utilisateur final. Le seul "IoC" (Indicateur de Compromission) côté client est un avertissement de certificat TLS lors de la phase de "Break & Inspect" opérée par le proxy des attaquants. Malheureusement, sur mobile ou via des applications lourdes Outlook/Teams, ces alertes sont souvent masquées ou ignorées par l'utilisateur.
4. Protocole de Remédiation (Hardening)
Pour les administrateurs de flottes MikroTik et TP-Link, le simple redémarrage est insuffisant (les scripts de persistance étant souvent inscrits dans le scheduler ou via des fichiers binaires ELF en /flash).
Actions immédiates :

• Reset & Flash : Nettoyage complet (Netinstall pour MikroTik) et passage impératif en RouterOS v7.14+ Stable. Pour TP-Link, vérifier si le modèle n'est pas EOL ; si c'est le cas, le remplacement physique est la seule option viable.
  
• Nettoyage DNS/DHCP :
  

/ip dns print
/ip dhcp-server network print

Vérifiez que vos serveurs DNS pointent exclusivement vers vos propres récurseurs ou des services de confiance (Quad9, Cloudflare, etc.).

• Réduction de surface : Désactiver impérativement les services inutilisés (Telnet, FTP, WWW) et restreindre l'accès à l'interface de gestion (Winbox/SSH) via des listes d'accès IP (Source-IP filtering).
  
• Identités : Suppression du compte admin et bascule vers une authentification par clé SSH avec une politique de mots de passe forte.
  

Conclusion : De la négligence domestique à la compromission d'État
Il est intellectuellement fascinant — bien que techniquement alarmant — de constater qu'en 2026, des CVE "poussiéreuses" servent encore de tapis rouge à des services de renseignement d'élite. C'est le grand paradoxe de notre ère : nous bâtissons des cathédrales numériques sur des fondations que nous oublions d'entretenir.

Ce qu'il faut intégrer aujourd'hui :

L'effet multiplicateur de l'IA : Ce que nous voyons avec FrostArmada n'est que le prologue. L'automatisation par l'IA permet désormais aux acteurs étatiques de scanner, identifier et exploiter ces vulnérabilités à une échelle industrielle, en quelques millisecondes.
Le coût de l'inaction : Un routeur mal configuré n'est plus un simple "incident technique" ; c'est une faille dans votre souveraineté numérique et celle de votre organisation.

Après quelques années à observer l'évolution des menaces, ma conviction est faite : la sécurité n'est pas un produit qu'on achète, c'est une discipline que l'on exerce. Coiffer son routeur d'un firewall robuste et maintenir une hygiène de patch stricte n'est plus une option de "geek" précautionneux ; c'est le strict minimum vital pour ne pas devenir, malgré vous, le relais d'une puissance étrangère.

Ne laissez pas votre porte d'entrée devenir leur meilleur accès. Vérifiez vos logs, patchez vos instances, et reprenez le contrôle de votre périmètre.

Bonnes updates à toutes et tous.

Mis en forme à l’aide de Gemini 3 Pro 3.1[/list]

J'émets l'hypothèse que la compartimentation des tâches a du bon : un routeur/firewall, ca doit router et filtrer, pas faire tourner 200 services de management, DPI ou ne sais-je, de surcroit si il n'est pas maintenu à jour.
Les interfaces d'administration (SSH ou autre) devraient n'être exposées que dans un VLAN dédié, ou alors activées uniquement lorsque nécessaire pour les petites structures (par exemple: l'appui sur un bouton démarre le serveur Web ou SSH d'administration pour x heures).