Une opération internationale menée par les autorités chargées de l'application de la loi, en partenariat avec des entreprises privées, a démantelé FrostArmada, une campagne de l'**APT28** détournant le trafic local des routeurs **MikroTik** et **TP-Link** pour voler les identifiants de compte Microsoft. Le groupe de menace russe APT28, également connu sous les noms de Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 et Sednit, a été lié à l'unité militaire 26165 du 85ème Centre de Services Spéciaux Principal (GTsSS) de la Direction Principale du renseignement de l'État-Major russe (GRU). Dans les attaques FrostArmada, les pirates ont compromis principalement des routeurs de type SOHO (Small Office/Home Office) et modifié les paramètres du système de noms de domaine (DNS) pour qu'ils pointent vers des serveurs privés virtuels (VPS) sous leur contrôle, qui agissaient comme résolveurs DNS. Cela a permis à l'APT28 d'intercepter le trafic d'authentification vers les domaines ciblés et de voler les identifiants de connexion et les jetons OAuth de Microsoft. À son apogée en décembre 2025, FrostArmada avait infecté 18 000 appareils dans 120 pays, ciblant principalement des agences gouvernementales, des forces de l'ordre, des fournisseurs de services informatiques et d'hébergement, ainsi que des organisations exploitant leurs propres serveurs. **Microsoft**, dont les services étaient ciblés par cette campagne, a collaboré avec **Black Lotus Labs (BLL)**, la division de recherche et d'opérations sur les menaces de Lumen, pour cartographier l'activité malveillante et identifier les victimes. Avec le soutien du FBI, du Département de la Justice américain et du gouvernement polonais, l'infrastructure incriminée a été mise hors ligne. ### Activité FrostArmada Les attaquants ont ciblé des routeurs exposés sur Internet, principalement MikroTik et TP-Link, ainsi que certains produits de pare-feu de Nethesis et d'anciens modèles **Fortinet**. Une fois compromis, les appareils communiquaient avec l'infrastructure des attaquants et recevaient des modifications de configuration DNS qui redirigeaient le trafic vers des nœuds VPS malveillants. Les nouveaux paramètres DNS étaient automatiquement poussés vers les appareils internes via le protocole DHCP (Dynamic Host Configuration Protocol). Lorsque les clients interrogeaient les domaines liés à l'authentification ciblés par l'acteur de la menace, le serveur DNS renvoyait l'adresse IP de l'attaquant au lieu de la véritable, redirigeant les victimes vers un proxy adversaire-en-le-milieu (AitM). Le seul signe visible de fraude pour la victime aurait été un avertissement de certificat TLS invalide, qui aurait pu être facilement ignoré. Cependant, ignorer l'alerte donnait à l'acteur de la menace accès aux communications Internet non chiffrées de la victime. « L'acteur exécutait essentiellement un service de proxy en tant qu'AitM vers lequel l'utilisateur final était dirigé via DNS », expliquent les chercheurs de Black Lotus Labs de Lumen. « Le seul signe de cette attaque serait une fenêtre contextuelle avertissant de la connexion à une source non fiable en raison de la configuration 'break and inspect'. » « Si des avertissements étaient présents et ignorés ou cliqués, l'acteur transmettait les requêtes aux services légitimes, collectant les données à mi-chemin et collectant les données associées au compte ciblé en passant le jeton OAuth valide. » Dans certains cas, cependant, les pirates ont usurpé les réponses DNS pour certains domaines, forçant ainsi les points de terminaison affectés à se connecter aux infrastructures d'attaque, indique Microsoft dans un rapport aujourd'hui. Lumen rapporte que FrostArmada opérait en deux clusters distincts, l'un appelé « Expansion team » dédié à la compromission des appareils et à la croissance du botnet, et le second gérant les opérations AiTM et de collecte d'identifiants.  Les chercheurs rapportent que l'activité FrostArmada a fortement augmenté suite à un rapport d'août 2025 du **National Cyber Security Centre (NCSC)** au Royaume-Uni décrivant une boîte à outils Forest Blizzard qui ciblait les identifiants et jetons de compte Microsoft. Microsoft a confirmé que l'APT28 avait mené des attaques AitM contre des domaines associés au service **Microsoft 365**, car des sous-domaines pour Microsoft Outlook sur le web avaient également été ciblés. De plus, la société a observé cette activité sur des serveurs appartenant à trois organisations gouvernementales en Afrique qui n'étaient pas hébergées sur l'infrastructure Microsoft. Dans ces attaques, « Forest Blizzard a intercepté les requêtes DNS et a mené des collectes ultérieures. » Black Lotus Labs a également observé l'acteur de la menace ciblant des entités avec des serveurs de messagerie sur site et « un petit nombre d'organisations gouvernementales » en Afrique du Nord, en Amérique centrale et en Asie du Sud-Est. Les chercheurs notent qu'« il y avait également un lien avec une plateforme d'identité nationale dans un pays européen. » Dans un rapport publié aujourd'hui, l'agence britannique indique que l'activité AitM a affecté à la fois les sessions de navigateur et les applications de bureau, et que le détournement DNS est considéré comme ayant été de nature opportuniste pour constituer un large pool de cibles potentielles, puis filtrer celles d'intérêt. Black Lotus Labs a publié un petit ensemble d'[indicateurs de compromission](https://github.com/blacklotuslabs/IOCs/blob/main/FrostArmada_IOCs.txt) pour les serveurs VPS utilisés pendant la campagne FrostArmada : | Adresse IP | Première observation | Dernière observation | |-------------------|-----------------------|-----------------------| | 64.120.31[.]96 | 19 mai 2025 | 31 mars 2026 | | 79.141.160[.]78 | 19 juillet 2025 | 31 mars 2026 | | 23.106.120[.]119 | 19 juillet 2025 | 31 mars 2026 | | 79.141.173[.]211 | 19 juillet 2025 | 31 mars 2026 | | 185.117.89[.]32 | 9 septembre 2025 | 9 septembre 2025 | | 185.237.166[.]55 | 30 décembre 2025 | 30 décembre 2025 | Les chercheurs notent que les défenseurs devraient implémenter l'épinglage de certificat pour les appareils d'entreprise (ordinateurs portables, téléphones mobiles) contrôlés via une solution MDM, ce qui générerait une erreur lorsque l'attaquant tente d'intercepter et d'analyser le trafic sur son infrastructure VPS. Une autre recommandation est de minimiser la surface d'attaque par le biais de correctifs, en limitant l'exposition sur le web public et en supprimant tout équipement en fin de vie. Microsoft et le NCSC fournissent également une liste d'IoC et des conseils de protection pour aider les défenseurs à identifier et à prévenir les attaques de détournement DNS.