APT29 a encore frappé, sans malware ni faille technique. Cette fois, le groupe s’est contenté de détourner une fonction légitime de Microsoft pour prendre le contrôle de comptes à distance, en misant sur une simple page piégée et un peu d’ingénierie sociale.
- APT29 a utilisé une page piégée pour détourner une fonction Microsoft et accéder à des comptes à distance.
- Le groupe a redirigé des visiteurs de sites compromis vers une fausse page de vérification Cloudflare.
- Pour se protéger, activez l'authentification multifacteur et vérifiez chaque connexion depuis des appareils externes.
En matière de cyberespionnage, APT29 n’en est pas à son coup d’essai. Connue pour ses attaques discrètes et patientes, cette entité liée aux service de renseignement extérieur russes (SVR) s’est récemment appuyée sur le flux d’authentification par code de Microsoft pour faire valider l’ajout d’un appareil qu'elle contrôle, dans l’intention d’accéder aux services associés au compte ciblé. Amazon, qui surveillait de près l’activité du groupe, affirme avoir identifié la campagne suffisamment tôt pour la perturber, en coordination avec Cloudflare et Microsoft.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un détournement subtil du flux de connexion Microsoft
Dans les grandes lignes, la campagne s’appuyait sur un réseau de sites légitimes compromis, modifiés à la marge pour embarquer un script JavaScript offusqué. L’objectif consistait à rediriger environ 10 % des visiteurs vers des domaines malveillants, où s’affichait une fausse page de vérification Cloudflare, visuellement identique à celles que l’on croise parfois lorsqu’un site veut s’assurer qu’un internaute n’est pas un robot.
Sauf qu’ici, le CAPTCHA classique avait été remplacé par un champ à compléter avec une adresse mail valide. En confirmant l’opération, la victime initiait alors un vrai flux d’authentification Microsoft – un mécanisme prévu pour connecter un appareil distant via Entra ID, sans saisie de mot de passe. Or, dans ce cas précis, la demande ne concernait pas son propre appareil… mais celui de l’attaquant. Et voilà comment, en suivant une procédure a priori familière, la victime autorisait l’accès à son compte depuis une machine distante sans s’en apercevoir.
Évidemment, pour rester discret, le dispositif reposait sur plusieurs techniques d’évasion : encodage base64 pour masquer le script, cookies pour éviter les redirections répétées, infrastructure capable de pivoter rapidement en cas de blocage de domaine.
Selon Amazon, les domaines piégés utilisés par APT29 étaient hébergés sur une infrastructure partiellement déployée sur AWS, ce qui a permis à l'entreprise d’en identifier certains et d’intervenir rapidement. Les machines virtuelles concernées ont également été isolées, avant que le groupe ne migre vers d’autres hébergeurs cloud pour tenter de relancer sa campagne, délaissant les redirections JavaScript au profit de redirections côté serveur, plus difficiles à détecter.
Mieux comprendre ces attaques pour mieux s’en protéger
Ce n’est pas la première fois qu’APT29 est pris la main dans le sac, à exploiter des services cloud à des fins d’espionnage. En octobre 2024 déjà, Microsoft avait alerté sur une vaste campagne reposant sur une série de faux domaines AWS et l’envoi de fichiers RDP piégés, conçus pour inciter les cibles à établir une connexion vers une infrastructure distante sous contrôle.
Plus récemment, en juin 2025, Google et Citizen Labs avaient documenté une nouvelle opération exploitant les mots de passe d’application de Gmail pour cibler notamment des chercheurs et des experts en géopolitique, dont le Britannique Keir Giles, régulièrement critiqué par le Kremlin.
Dans tous les cas, les campagnes reposaient moins sur des vulnérabilités techniques que sur le détournement de fonctionnalités parfaitement légitimes, habilement mises en scène à travers des scénarios d’ingénierie sociale poussés.
Pour éviter de tomber dans le piège, il est essentiel d’activer l’authentification multifacteur (MFA) sur tous les services sensibles, mais aussi de prêter attention à chaque étape d’une connexion multiappareils, en particulier lorsqu’elle est initiée depuis une page ou un contexte inattendu. Vérifier l’origine de la demande, contrôler l’URL, s’assurer que l’action est bien déclenchée par l’utilisateur ou l’utilisatrice – et non imposée depuis l’extérieur – reste le meilleur moyen de se prémunir contre ce type de manipulation.
Certaines variantes reposent par ailleurs sur la technique dite ClickFix, qui pousse les internautes à copier-coller des commandes système via l’invite Exécuter (Win+R). Là aussi, méfiance absolue face à tout message ou page web vous demandant ce type d’action manuelle sans justification claire.
Côté administrateurs, il est conseillé de restreindre les flux d’authentification non essentiels, de surveiller les événements liés à l’autorisation de nouveaux appareils, et d’appliquer des politiques d’accès conditionnel strictes. Un bon suivi des logs d’accès et une détection comportementale peuvent aussi permettre d’identifier rapidement une tentative d’abus.
Source : Amazon
