Des hackers russes détournent des conférences européennes sur la sécurité lors de vols furtifs d’identifiants

Tout a commencé par une invitation standard à une prestigieuse conférence européenne sur la sécurité - un sésame pour diplomates, analystes et décideurs politiques. Mais derrière le RSVP numérique se cachait un piège soigneusement élaboré, orchestré par des agents russes de cyber-espionnage. Leur objectif : franchir silencieusement les défenses numériques et s’emparer des clés de comptes sensibles grâce à un mélange de ruse technique et d’ingénierie sociale.

Anatomie d’une arnaque de conférence

Selon la société de sécurité Volexity, l’acteur de menace lié à la Russie UTA0355 a lancé une vague de campagnes de phishing hautement ciblées, en se couvrant derrière des événements européens réels. Lors d’un incident, un compte Microsoft 365 lié à la Belgrade Security Conference a été compromis lorsqu’un attaquant a injecté un email de phishing dans un fil de discussion légitime. L’email contenait un lien d’autorisation Microsoft OAuth, apparemment authentique, mais menant à un faux portail d’inscription.

Une fois la cible connectée, elle atterrissait sur une page blanche avec un code OAuth intégré dans l’URL. L’attaquant, se faisant passer pour un organisateur de conférence via WhatsApp, demandait à la victime d’envoyer l’URL complète - lui remettant sans le savoir le code nécessaire pour prendre le contrôle du compte. Les attaquants enregistraient ensuite un faux appareil dans Entra ID de Microsoft, imitant le système de l’utilisateur et masquant leurs traces avec des agents utilisateurs Android et des serveurs proxy.

La supercherie ne s’arrêtait pas là. UTA0355 a cloné des domaines officiels d’événements comme bsc2025[.]org et brussels-indo-pacific-forum[.]org, ciblant les participants au Brussels Indo-Pacific Dialogue. Leurs sites de phishing détournaient l’authentification par code d’appareil de Microsoft - une méthode de plus en plus populaire parmi les cybercriminels - tout en faisant transiter les connexions malveillantes par des proxys résidentiels américains pour masquer leur origine.

Fait notable, les attaquants s’adaptaient en temps réel : les cibles secondaires recevaient des confirmations génériques, tandis que les victimes de grande valeur faisaient l’objet d’un phishing complet des identifiants. Ils élargissaient même leur portée en sollicitant des recommandations lorsque les premières cibles déclinaient.

Pourquoi c’est important

En s’appuyant sur des événements réels et en exploitant des flux d’authentification modernes, les acteurs russes du cyber-espionnage contournent les défenses traditionnelles. Leurs opérations allient sophistication technique et manipulation sociale - rendant la vigilance et la sécurité multicouche essentielles pour les organisations des secteurs diplomatique et sécuritaire.