APT 28

APT28 (Fancy Bear) : Plongée dans l’un des groupes de cybermenace les plus redoutés au monde

Identification du groupe

APT28, également connu sous les noms Fancy Bear, Sofacy, STRONTIUM (Microsoft), ou encore Sednit, est un groupe de cyberespionnage russe actif depuis au moins 2007. Il est attribué au GRU, le service de renseignement militaire de la Fédération de Russie, plus précisément à l’unité 26165, selon de nombreuses sources gouvernementales et rapports techniques (dont ceux du FBI, de FireEye, CrowdStrike et de l’ANSSI).

Il s’agit d’un groupe d’APT (Advanced Persistent Threat), c’est-à-dire une entité hautement structurée, dotée de ressources étatiques, visant des objectifs stratégiques à long terme.

Mentionnné comme MOA apt28 dans le rapport de l'anssi. Il s'attaque principalement à des entités gouvernementals occidentals.

Attributions

APT28 est connu pour des opérations d’ampleur mondiale, souvent au cœur de manœuvres de déstabilisation politique, de vols de données sensibles et de désinformation. Parmi les attaques emblématiques :

On attribue à ce groupe de hackers les piratages suivants :

• L’OTAN en 2015

• L’artillerie ukrainienne entre 2014 et 2016

• Une vague mondiale de cyberattaques visant des entreprises industrielles et de services (notamment financiers) en 2015

• La Maison-Blanche (administration Obama) en 2015

• La chaîne de télévision francophone TV5 Monde, en se faisant passer pour l’organisation terroriste État islamique, en 2015

• L’Agence mondiale antidopage en 2015

• Le Bundestag allemand et les pages internet gérées par le service de communication de la chancellerie fédérale en 2015

• Le Parti démocrate lors des élections présidentielles américaines de 2016

• Le mouvement politique En Marche, en amont de la campagne électorale des élections présidentielles françaises de 2017 (piratage surnommé "MacronLeaks")

• La chancellerie fédérale allemande du milieu de 2017 à 2018

• Le Conseil de sécurité néerlandais (OVV) en 2017, alors qu’il enquêtait sur le vol MH17 abattu au-dessus de l’Ukraine

• Le Comité international olympique (CIO) en janvier 2018, après des sanctions contre des athlètes russes pour dopage lors des JO de Sotchi

• L’Association internationale des fédérations d’athlétisme en 2017

• Des journalistes et correspondants étrangers (notamment du New York Times) travaillant en Russie, Ukraine, Moldavie, Arménie et aux États-Unis, ainsi que du personnel diplomatique américain

• En décembre 2022, le réseau informatique d’un satellite privé américain, infiltré de manière furtive, vraisemblablement à des fins d’espionnage

• Le Parti social-démocrate d’Allemagne (SPD) en janvier 2023, entraînant une protestation officielle de l’Allemagne et la convocation d’un diplomate russe

Arsenal technique

APT28 utilise un arsenal sophistiqué, modulaire et régulièrement mis à jour. Il s’appuie sur une combinaison d’outils sur mesure et d’éléments open source. Parmi les outils identifiés :

• OCEANMAP: backdoor attribué à APT28, en C#, utilise IMAP. https://gurucul.com/blog/apt28s-oceanmap-backdoor/

• ReGeorg:  https://github.com/sensepost/reGeorg

• Mimikatz : Password stealer (cocorico c'est français)
• Hatvibe
• 

En octobre 2022, le groupe de hackers APT28 semble avoir mis au point une nouvelle méthode d'exécution de code basée sur le mouvement de la souris lors du lancement du mode présentation d'un document Powerpoint. Cette méthode est destinée à infecter des ordinateurs PC via de faux documents paraissant inoffensifs.

Chaine de compromission

 APT28 conduisent  des campagnes d’hameçonnage, d’attaques par force brute notamment contre des messageries web(webmails), et d’exploitation de vulnérabilités y compris jour-zéro telle que la CVE-2023-23397(outlouk) -> https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-002.

Certaines campagnes, lors desquelles les attaquants chercheraient à collecter des informations
stratégiques (conversations, carnets d’adresses, authentifiants de connexion), sont notables par
l’absence d’installation de mécanisme spécifique destiné à maintenir un accès persistant sur des
systèmes d’information [8]. L’objectif premier des attaquants pourrait être dans ces cas spéci-
fiques d’accéder directement à des informations d’intérêt à des fins d’espionnage.

Les opérateurs du MOA APT28 s’appuient de manière notable sur des infrastructures infogérées
à moindre coût et prêtes à l’emploi, de la phase de reconnaissance à l’exfiltration de données. Ces
infrastructures peuvent être composées de serveurs loués, de services d’hébergement gratuits,
de services VPN et de services de création d’adresses de messagerie temporaires. L’utilisation
de ces services offre une grande flexibilité dans la création et l’administration de nouvelles res-
sources et améliore la discrétion. En effet, nombre de ces services sont également utilisés de
manière légitime par des particuliers ou des entreprises, rendant complexes la détection et le
suivi de ces infrastructures par les équipes de sécurité.

Au cours de l’année 2023, les opérateurs du MOA ont également déployé une chaîne d’attaque
s’appuyant sur l’utilisation de services web gratuits. Ces campagnes consistaient à envoyer des
courriels d’hameçonnage contenant un lien de redirection vers un sous domaine fourni par le
service INFINITYFREE pour délivrer des archives ZIP malveillantes contenant la porte dérobée
HeadLace. Cette porte dérobée reposait sur la distribution de commandes depuis des points de
terminaison web du service MOCKY.IO. Les commandes distribués par les points de terminai-
sons MOCKY.IO visaient à récupérer des informations sur le système d’information ainsi que
des authentifiants de connexion, ou encore à déployer des outils offensifs. 

Victimologie

Depuis 2021, des campagnes associées au MOA APT28 ont ciblé ou compromis 5 plusieurs or-
ganisations françaises parmi lesquelles :
• des entités ministérielles, des collectivités territoriales et des administrations ;
• des entités du secteur de la BITD 6 ;
• des entités du secteur de l’aérospatial ;
• des entités du secteur de la recherche et des groupes de réflexions (think-tank) ;
• des entités du secteur de l’économie et de la finance.

Indicateurs de compromission (IoCs)

Parmi les IoCs typiques liés à APT28 :

• Hashs de fichiers (SHA256) nottament 

  24fd571600dcc00bf2bb8577c7e4fd67275f7d19d852b909395bebcbb1274e04 (Ocean map)

• Adresses IP de serveurs  (souvent situés dans des data centers compromis ou anonymisés).

• Domaines de phishing usurpant des services Microsoft, OWA, Google (ex : accounts-update-microsoft.com).

• _tmp.exe,  et IMAP  74.124.219.71 traffic (OCEAN map).
• Création de fichiers C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EdgeContext.url
• Spawn de task taskkill /F /PID <PID>

• Signatures comportementales :

  • Création de services Windows suspects.

  • Exécution de macros avec appel de scripts Powershell.

  • Communication avec des C2 via HTTP POST chiffré.

Contre-mesures recommandées

. La sécurisation des systèmes de messagerie en mettant en œuvre le chiffrement de bout en bout pour les communications sensibles.

2. La protection renforcée des identifiants en rendant obligatoire l’usage de l’authentification multi-facteur (MFA). Et effectuer des audits périodiques des mots de passe et des formations pour les utilisateurs.

3. La réduction de l’exposition aux vulnérabilités en :

• Corrigeant les systèmes rapidement, en donnant la priorité aux vulnérabilités critiques telles que CVE-2023-23397.
• Employant la segmentation du réseau pour limiter les mouvements latéraux.

4. Le suivi des Indicateurs de Compromission (IoCs) et l’usage d’outils de détection avancés capables d’identifier les tentatives de phishing et les activités réseau anormales.

5. L’adoption de plans de réponse aux Incidents en mettant en œuvre des protocoles clairs pour la détection et réponse aux éventuels incidents.

Pourquoi APT28 reste difficile à contrer

• Capacité d’adaptation et d’innovation constante.

• Appui étatique, ce qui rend toute action judiciaire ou diplomatique complexe.

• Utilisation de faux drapeaux (false flags) pour brouiller l’attribution.

• Campagnes synchronisées avec des objectifs géopolitiques, difficiles à anticiper techniquement.

Conclusion

APT28 incarne l’un des visages les plus sophistiqués du cyberespionnage moderne. Son historique, son arsenal et son adaptabilité font de lui un adversaire redouté. La défense ne peut pas reposer uniquement sur la technologie : la vigilance humaine, l’anticipation stratégique et la coopération internationale sont essentielles pour mitiger ses effets.

Sources fiables

• ANSSI - Cybermenaces d'origine étatique

• FireEye – APT28: A Window into Russia’s Cyber Espionage Operations

• CrowdStrike Global Threat Report

• CERT-FR bulletins techniques

• US DOJ Indictment (2018) – Russian GRU Officer

• rapport de l'anssi: https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-006.pdf