Vous êtes-vous déjà demandé comment des pirates informatiques parviennent à exploiter des failles de sécurité presque instantanément après qu’un correctif soit publié? Récemment, un groupe de pirates russes a démontré une telle rapidité, suscitant des inquiétudes quant à la sécurité numérique mondiale.
Les 3 infos à ne pas manquer
- Des pirates affiliés à la Russie ont exploité une faille d’Office moins de 48 heures après la mise à jour de Microsoft.
- Cette attaque a ciblé des secteurs clés tels que la diplomatie, la défense et la logistique dans plusieurs pays.
- Deux incidents majeurs, BeardShell et NotDoor, ont été identifiés, utilisant des techniques avancées pour échapper à la détection.
Une exploitation rapide et sophistiquée
Des chercheurs de la société de sécurité Trellix ont observé que le groupe de menace APT28, également connu sous les noms de Fancy Bear ou Sofacy, a rapidement exploité la vulnérabilité CVE-2026-21509 après que Microsoft ait déployé une mise à jour d’urgence. En moins de 48 heures, ces attaquants ont réussi à créer un exploit avancé, permettant l’installation de portes dérobées inconnues jusqu’alors.
Cibles et techniques d’évasion
Cette campagne d’attaque a duré 72 heures et a visé des secteurs sensibles, notamment les services diplomatiques, les organisations de défense et les entreprises de transport et de logistique. Les pays touchés incluent la Pologne, la Grèce, l’Ukraine et les Émirats arabes unis. Pour éviter la détection, le logiciel malveillant était exécuté en mémoire vive, s’appuyait sur des composants chiffrés et utilisait des services cloud légitimes comme canaux de commande et de contrôle.
Incidents identifiés : BeardShell et NotDoor
Les chercheurs ont identifié deux incidents majeurs dans cette campagne. « BeardShell » permettait une exploration approfondie du système et facilitait les mouvements latéraux au sein des réseaux compromis. En parallèle, « NotDoor » surveillait les boîtes aux lettres Outlook et transférait discrètement les messages en exploitant des comptes de stockage cloud. Ces méthodes témoignent de la sophistication et de l’adaptabilité du groupe APT28.
APT28 : Un acteur de la cybermenace bien connu
APT28 est un groupe de pirates informatiques qui a acquis une notoriété mondiale pour ses attaques ciblées et complexes. Connu pour ses liens présumés avec le renseignement russe, le groupe a été impliqué dans plusieurs incidents majeurs, notamment l’ingérence dans les élections américaines de 2016. APT28 se distingue par sa capacité à développer rapidement des exploits et à utiliser des logiciels malveillants modulaires sophistiqués. Parmi ses concurrents notables figurent d’autres groupes comme APT29, également connu sous le nom de Cozy Bear, qui opère avec des objectifs similaires mais des méthodes souvent différentes.
Source : https://www.trellix.com/blogs/research/apt28-stealthy-campaign-leveraging-cve-2026-21509-cloud-c2/
