Netcrook Logo
👤 CRYSTALPROXY
🗓️ 20 Dec 2025   🌍 Europe

Derrière les lignes ennemies : l’attaque furtive de BlueDelta sur le front numérique ukrainien

Des hackers d’État russes lancent une vague d’attaques de phishing sophistiquées contre les utilisateurs de UKR.NET, exploitant des outils proxy avancés et de faux portails de connexion pour voler des identifiants dans la cyberguerre en cours.

Dans les couloirs obscurs de la cyberguerre, des hackers soutenus par l’État russe mènent une campagne implacable contre l’Ukraine - non pas sur le champ de bataille, mais dans les boîtes mail. BlueDelta, un groupe de hackers notoire affilié au renseignement militaire russe, a lancé une attaque sophistiquée visant les utilisateurs de UKR.NET, le service de messagerie et d’actualités le plus populaire d’Ukraine. Leur arme de prédilection ? Des pages de connexion trompeusement simples, habilement déguisées et diffusées via un labyrinthe de proxys numériques et de PDF malveillants. Tandis que la guerre fait rage au sol, un conflit parallèle pour les identités numériques se déroule, menaçant de saper la sécurité des citoyens et institutions ukrainiens.

Selon les analystes de la menace du groupe Insikt de Recorded Future, la dernière campagne de BlueDelta marque une escalade glaçante des opérations cyber parrainées par des États. Le groupe, longtemps associé au GRU russe, a adapté ses tactiques en réponse aux démantèlements menés par les forces de l’ordre occidentales début 2024. Ne comptant plus sur des routeurs compromis, BlueDelta déploie désormais des outils avancés de tunnelisation proxy comme ngrok et Serveo, masquant leur véritable localisation derrière des couches d’infrastructures web gratuites qui rendent la détection et l’attribution extrêmement difficiles.

La sophistication technique de l’opération est frappante. Les enquêteurs ont identifié plus de 42 chaînes de phishing distinctes exploitant des services gratuits tels que DNS EXIT, Byet Internet Services et ngrok, ainsi que des plateformes API comme Mocky pour héberger de faux portails de connexion UKR.NET très convaincants. Les victimes étaient appâtées par des PDF se faisant passer pour des alertes de sécurité, leur demandant de « réinitialiser » leur mot de passe via des liens intégrés. Une fois cliqués, ces portails récoltaient noms d’utilisateur, mots de passe et même des codes d’authentification à deux facteurs - des accès critiques pour une cyber-espionnage plus poussé.

Pour éviter de déclencher les alertes de sécurité des navigateurs, BlueDelta a intégré un code personnalisé désactivant les avertissements de ngrok, aveuglant ainsi davantage les utilisateurs face au danger. Des domaines typosquattés - comme ukrinet[.]com et ukrainnet[.]com - servaient d’infrastructure de secours, assurant la continuité de la campagne même si les nœuds principaux étaient exposés. L’infrastructure du groupe est devenue de plus en plus stratifiée, avec de nouveaux serveurs identifiés en France et au Canada gérant l’exfiltration et la transmission, tout en maintenant un accès SSH pour un contrôle persistant.

L’intention stratégique est claire : récolter des identifiants ukrainiens pour alimenter la collecte de renseignements au service des objectifs militaires russes. Les cibles ne sont pas seulement des citoyens ordinaires, mais aussi des administrations, des sous-traitants de la défense et des think tanks politiques. Les experts en sécurité avertissent que cette approche à faible coût et à fort impact devrait se poursuivre, exploitant le maillon le plus faible - la confiance humaine - tout en contournant les défenses techniques.

À mesure que BlueDelta et ses semblables affinent leurs méthodes, les organisations ukrainiennes font face à un choix crucial : s’adapter ou devenir des proies. L’authentification multifactorielle, le refus vigilant des services web non essentiels et une sensibilisation constante à la sécurité sont désormais des boucliers indispensables. Dans le brouillard de la guerre numérique, seule une vigilance de tous les instants peut contrer la main invisible qui cherche à s’emparer des secrets de l’Ukraine.

WIKICROOK

  • Vol d’identifiants : Le vol d’identifiants consiste à dérober des informations de connexion, telles que noms d’utilisateur et mots de passe, souvent via de faux sites web ou des emails trompeurs.
  • Tunnelisation proxy : La tunnelisation proxy fait transiter le trafic via un serveur proxy pour en masquer l’origine, permettant de contourner des restrictions mais pouvant aussi faciliter des activités malveillantes.
  • Domaines typosquattés : Les domaines typosquattés sont de faux sites web avec des URL mal orthographiées, conçus pour tromper les utilisateurs et leur faire saisir des informations sensibles à des fins malveillantes.
  • Phishing : Le phishing est une cybercriminalité où des attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Commande : Une commande est une instruction envoyée à un appareil ou à un logiciel, souvent par un serveur C2, pour lui faire exécuter des actions spécifiques, parfois à des fins malveillantes.
BlueDelta Cyberwar Phishing
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news