Netcrook Logo
👤 CRYSTALPROXY
🗓️ 12 Jan 2026   🌍 Europe

Phishing dans l’ombre : comment l’APT28 russe mène une guerre silencieuse contre l’énergie et la défense mondiales

Des hackers soutenus par l’État russe intensifient les attaques de vol d’identifiants contre scientifiques, chercheurs et stratèges dans une campagne furtive à travers l’Europe et au-delà.

Tout commence par un simple e-mail : une réinitialisation urgente de mot de passe, une demande d’accès à un document confidentiel ou un avertissement indiquant que votre compte va expirer. Les logos sont familiers, le ton officiel. Mais en coulisses, un groupe de cyber-espionnage russe connu sous le nom d’APT28 orchestre une campagne de tromperie, visant les institutions qui façonnent l’avenir énergétique et sécuritaire du monde.

En bref

  • APT28, également connu sous les noms de Fancy Bear et BlueDelta, est lié à l’agence de renseignement russe GRU.
  • Des attaques récentes ont visé des agences de recherche énergétique, des collaborateurs de la défense et des entités gouvernementales à travers l’Europe, la Turquie, la Macédoine du Nord et l’Ouzbékistan.
  • Le groupe utilise de fausses pages de phishing imitant Microsoft Outlook, Google et les portails VPN de Sophos pour voler des identifiants.
  • APT28 exploite des services d’hébergement et de tunneling gratuits comme InfinityFree, Ngrok et ShortURL pour échapper à la détection et masquer leur origine.
  • Les campagnes de vol d’identifiants sont souvent adaptées en langue et en design à des cibles spécifiques, notamment des scientifiques turcs et des organisations lusophones.

APT28 est une épine persistante dans le flanc des institutions occidentales depuis au moins 2004, avec une méthode qui évolue sans cesse. Leur dernière vague d’attaques, révélée par Recorded Future, met en lumière une utilisation sophistiquée d’appâts de phishing et de ruses d’infrastructure. Les cibles du groupe ne sont pas choisies au hasard : think tanks, agences de recherche énergétique et nucléaire, prestataires informatiques militaires, canaux de communication gouvernementaux - des organisations dont la compromission pourrait faire basculer l’équilibre des luttes de pouvoir mondiales.

La technique est d’une simplicité trompeuse. Les victimes sont dirigées vers de fausses pages de connexion presque indiscernables des véritables - qu’il s’agisse de Microsoft Outlook Web Access, de la réinitialisation de mot de passe Google ou d’un portail VPN Sophos. Saisissez vos identifiants, ils sont siphonnés par les attaquants, tandis que vous êtes redirigé vers le vrai site ou document, sans rien soupçonner.

Ce qui distingue cette campagne, c’est la dépendance d’APT28 à l’infrastructure publique et gratuite pour héberger leur contenu malveillant. En utilisant des services comme InfinityFree, Byet Internet Services, Ngrok et ShortURL, les hackers réduisent les coûts, brouillent l’attribution et compliquent les tentatives de suppression. Dans un cas, un leurre PDF malveillant s’est affiché brièvement dans le navigateur avant de rediriger vers une page de connexion usurpée - un tour de passe-passe qui permet de dérober des identifiants en quelques secondes.

La langue et le contexte sont méticuleusement adaptés. Des portails de phishing en turc ont ciblé des scientifiques et chercheurs en Turquie, tandis que des pages de réinitialisation Google en portugais visaient des organisations des pays lusophones. Les attaquants adaptent aussi leurs outils, rebrandant les pages de vol d’identifiants et faisant tourner leur infrastructure pour garder une longueur d’avance sur les défenseurs.

Les implications sont graves : le vol d’identifiants sensibles peut ouvrir la porte à l’espionnage, au sabotage et à la manipulation d’infrastructures critiques. À mesure qu’APT28 affine ses tactiques, la frontière entre diplomatie et cybercriminalité s’amenuise, exposant la sécurité énergétique et la coopération internationale à des menaces invisibles.

Alors que gouvernements et instituts de recherche s’empressent de sécuriser leurs frontières numériques, la dernière campagne d’APT28 rappelle crûment que, dans la guerre froide numérique actuelle, les lignes de front sont partout et que la confiance est la première victime. Vigilance, formation et défenses en profondeur sont les seuls remparts contre des adversaires qui ne dorment jamais.

WIKICROOK

  • APT28 : APT28, ou Fancy Bear, est un groupe de hackers soutenu par l’État russe, connu pour ses cyber-espionnages contre des gouvernements et organisations occidentaux.
  • Vol d’identifiants : Le vol d’identifiants consiste à dérober des informations de connexion, telles que noms d’utilisateur et mots de passe, souvent via de faux sites web ou des e-mails trompeurs.
  • Phishing : Le phishing est un cybercrime où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou cliquer sur des liens malveillants.
  • Service de tunneling : Un service de tunneling expose de manière sécurisée des serveurs locaux sur Internet, permettant un accès à distance et des tests en contournant les pare-feu ou restrictions réseau.
  • Lien : Un lien est une URL qui mène vers une autre ressource. En cybersécurité, les liens peuvent servir à propager des malwares ou des attaques de phishing, surtout lorsqu’ils sont raccourcis.
APT28 Phishing Credential Harvesting
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news