Depuis 2024, un groupe lié au FSB intercepte les connexions Internet de plusieurs ambassades étrangères à Moscou. Microsoft en décrit les techniques dans un rapport très détaillé.
- Depuis 2024, le groupe Secret Blizzard, lié au FSB, intercepte les connexions Internet d'ambassades à Moscou.
- Le malware ApolloShadow, déguisé en installateur Kaspersky, infiltre les systèmes en modifiant les configurations réseau.
- Microsoft recommande aux ambassades d'utiliser des connexions satellites ou VPN pour éviter ces interceptions.
La place Rouge était vide. À Moscou, plusieurs ambassades étrangères ont vu leurs connexions Internet interceptées depuis l’intérieur des infrastructures locales. Microsoft décrit une opération conduite par un groupe identifié sous le nom de Secret Blizzard. Les attaquants utilisent des fournisseurs d’accès russes pour détourner les requêtes réseau, installer un malware et surveiller les machines infectées. Le programme espion, nommé ApolloShadow, circule depuis l’année dernière. Microsoft a transmis aux organisations concernées les fichiers, signatures et indices qui permettent d’identifier une compromission.
Les connexions des ambassades interceptées dès la détection d’un accès réseau
Secret Blizzard agit depuis la fin des années 1990. Les équipes de sécurité le connaissent également sous les noms Turla, Snake, Uroburos ou Venomous Bear. Le groupe est rattaché au FSB, selon l’Agence de cybersécurité américaine.
À Moscou, ses cibles sont les ambassades connectées aux fournisseurs d’accès locaux. Dès qu’un appareil tente de rejoindre Internet, il est redirigé vers une page contrôlée par les attaquants. Cette étape intermédiaire ressemble aux portails que l’on croise sur les réseaux Wi-Fi publics. Elle déclenche une requête automatique du système Windows vers un domaine de test. Normalement, l’appareil se connecte à un serveur Microsoft. Mais ici, la requête est envoyée vers un domaine créé par le groupe.
Le code malveillant s’installe à ce moment précis, sans interaction manuelle. C’est ce point d’entrée, invisible pour l’utilisateur, qui permet aux attaquants d’introduire leur logiciel dans les systèmes diplomatiques. Microsoft indique que cette méthode s’appuie sur un accès direct aux couches techniques des fournisseurs d’accès russes.
ApolloShadow installe de faux certificats et maintient un accès prolongé aux machines ciblées
Une fois transmis, ApolloShadow se présente comme un installateur Kaspersky. Il affiche une fenêtre système classique et demande les droits administrateur. La plupart des utilisateurs n’y voient rien d’anormal.
Après validation, le malware installe deux certificats racine. Ces éléments techniques permettent aux opérateurs d’intercepter les connexions chiffrées sans générer d’erreur. Tous les sites sécurisés peuvent être imités, y compris ceux utilisés pour les échanges diplomatiques ou les services internes.
ApolloShadow ajuste ensuite la configuration réseau de la machine. Les règles du pare-feu sont modifiées, les connexions sont traitées comme des réseaux privés, et un compte système supplémentaire est ajouté. Il s’appelle « UpdatusUser » et dispose des droits nécessaires pour conserver l’accès, même après une tentative de nettoyage.
Le groupe a conservé cette position pendant plusieurs mois. L’activité a été repérée en février 2025. Microsoft a ensuite dressé un inventaire précis des fichiers modifiés, des processus lancés et des domaines utilisés pour l’installation. L’entreprise recommande aux ambassades présentes en Russie de passer par des connexions satellites ou des VPN hébergés hors du territoire.
Le malware Snake, rattaché au même groupe, a déjà été détecté dans plus de 50 pays, selon un rapport du NSA publié en 2023. Des institutions européennes figuraient parmi les cibles, avec des compromissions confirmées. L’analyse technique complète d’ApolloShadow est accessible sur le site Microsoft Security Insider, avec les outils nécessaires pour renforcer la détection.
Source : Ars Technica, Microsoft, CISA
