Une erreur OPSEC d'APT28 expose ses opérations d'espionnage contre des cibles européennes
Date : 07 Mars 2026
En mars 2026, les chercheurs de Hunt.io puis de Ctrl-Alt-Intel ont mis au jour une erreur de sécurité opérationnelle (OPSEC) commise par le groupe APT28, aussi connu sous les noms FancyBear, Forest Blizzard, Sednit ou Sofacy (cf. notre fiche CERT-IST/ATK-2016-013). Ce groupe est rattaché à la direction du renseignement militaire russe (GRU, unité 26165).
L'erreur est simple mais lourde de conséquences : les opérateurs d'APT28 ont laissé accessible sur Internet des répertoires ouverts (open directories) sur un serveur de commande et contrôle (C&C). Ce serveur était déjà connu du CERT gouvernemental ukrainien (CERT-UA) depuis octobre 2024, mais le groupe a pourtant continué à l'utiliser pendant plus de 500 jours sans changer d'infrastructure.
L'étendue du contenu exposé est assez considérable : code source du serveur C&C, payloads d'exploitation, journaux de télémétrie, et surtout des données exfiltrées : plus de 2800 emails gouvernementaux et militaires, environ 240 jeux d'identifiants (incluant des secrets TOTP utilisés dans les authentifications multi-facteurs) et plus de 11500 adresses de contacts. Les victimes identifiées sont des entités gouvernementales et militaires d'Ukraine, de Roumanie, de Bulgarie, de Grèce, de Serbie et de Macédoine du Nord, dont plusieurs sont membres de l'OTAN.
Modes opératoires observés
L'infrastructure exposée révèle deux modes opératoires distincts utilisés par APT28 pour compromettre ses cibles :
Le premier repose sur des campagnes de spear-phishing utilisant des leurres de type ClickFix (fausses pages CAPTCHA) qui incitent la victime à exécuter une commande sur son poste, déclenchant le téléchargement d'un implant Metasploit.
Le second cible les webmails Roundcube et SquirrelMail par injection de code JavaScript malveillant (XSS). Ce code s'exécute dans la session authentifiée de la victime et réalise deux actions : d'une part, il extrait silencieusement le secret TOTP configuré dans le plugin d'authentification, permettant à l'attaquant de générer des codes 2FA valides à tout moment, sans accès physique au terminal de la victime. D'autre part, il crée via le protocole ManageSieve une règle de redirection qui copie silencieusement tous les emails entrants vers une adresse contrôlée par l'attaquant. Cette règle persiste même après la fermeture du vecteur XSS initial, assurant un accès durable aux communications de la victime.
Enseignements
Cette exposition involontaire offre une visibilité rare sur le fonctionnement interne d'une opération d'espionnage étatique. Plusieurs enseignements s'en dégagent :
- Tout d'abord, même des groupes considérés comme sophistiqués commettent des erreurs basiques. Le fait qu'APT28 ait utilisé le même serveur pendant plus de 500 jours alors que celui-ci avait fait l'objet d'une attribution publique contredit l'idée reçue selon laquelle les infrastructures d'attaque étatiques sont rapidement renouvelées.
- Ensuite, la technique de vol de secrets TOTP via XSS montre une limite importante de l'authentification multi-facteurs basée sur des applications de type TOTP : si l'environnement web dans lequel le secret est configuré est compromis, le 2FA peut être contourné de manière transparente et durable.
- Enfin, pour les défenseurs, cette affaire rappelle l'importance de durcir et surveiller les plateformes de webmail auto-hébergées (Roundcube, SquirrelMail), d'auditer régulièrement les règles de filtrage ManageSieve à la recherche de redirections non autorisées, et plus largement de ne pas considérer le 2FA comme une protection absolue lorsque l'application sous-jacente est elle-même vulnérable.
Pour plus d'informations
- Hunt.io : Operation Roundish (mars 2026)
- Ctrl-Alt-Intel : FancyBear Exposed: Major OPSEC Blunder Inside Russian Espionage Ops (mars 2026)