Les services secrets russes exploitent des routeurs obsolètes pour voler des jetons Microsoft Office

Une campagne d'espionnage sophistiquée mais discrète

Des hackers associés aux services de renseignement militaires russes exploitent des failles connues dans des routeurs Internet obsolètes pour voler massivement des jetons d'authentification Microsoft Office, ont alerté des experts en cybersécurité. Cette opération, menée sans recourir à des logiciels malveillants, a permis à des acteurs soutenus par l'État russe de siphonner des données sensibles sur plus de 18 000 réseaux.

Forest Blizzard, le groupe de hackers derrière l'attaque

Microsoft a identifié plus de 200 organisations et 5 000 appareils grand public compromis par ce réseau d'espionnage. Le groupe responsable, Forest Blizzard (aussi connu sous les noms APT28 et Fancy Bear), est attribué à la Direction générale des renseignements (GRU) du ministère russe de la Défense. Ce collectif est tristement célèbre pour avoir infiltré la campagne d'Hillary Clinton et le Comité national démocrate en 2016, dans le cadre d'une tentative d'ingérence électorale.

Des routeurs vulnérables ciblés en masse

Selon les chercheurs de Black Lotus Labs, filiale de sécurité de Lumen Technologies, l'activité maximale de cette campagne a été observée en décembre 2025. À cette période, plus de 18 000 routeurs, principalement des modèles Mikrotik et TP-Link obsolètes ou non mis à jour, ont été compromis. Ces appareils, souvent destinés aux petites entreprises ou aux particuliers, présentaient des vulnérabilités connues exploitées par les attaquants.

Une attaque sans malware : le détournement DNS

Contrairement aux méthodes traditionnelles, les pirates n'ont pas eu besoin d'installer de logiciels malveillants. Ils ont exploité des failles pour modifier les paramètres DNS des routeurs, les redirigeant vers des serveurs contrôlés par leurs soins. Ryan English, ingénieur en sécurité chez Black Lotus Labs, explique :

« Tout le monde cherche des malwares sophistiqués pour infecter vos appareils. Ces hackers ont utilisé une méthode ancienne mais efficace : le détournement DNS. Pas besoin de logiciel malveillant, juste une configuration malveillante des routeurs. »

Une fois les paramètres DNS modifiés, les attaquants pouvaient intercepter les requêtes de tous les utilisateurs du réseau local, y compris les jetons d'authentification OAuth échangés après une connexion réussie. Ces jetons, souvent utilisés pour éviter la saisie répétée des identifiants, donnent un accès direct aux comptes sans nécessiter de phishing ou de vol de codes à usage unique.

Des cibles privilégiées : gouvernements et fournisseurs de messagerie

Le rapport de Lumen révèle que les principales victimes étaient des agences gouvernementales, notamment des ministères des Affaires étrangères, des forces de l'ordre et des fournisseurs tiers de services de messagerie. Le Centre national de cybersécurité du Royaume-Uni (NCSC) a publié un avis détaillant cette menace, soulignant que le détournement DNS permet aux attaquants de rediriger les utilisateurs vers des sites malveillants conçus pour voler des identifiants ou des données sensibles.

Une menace persistante et difficile à détecter

Cette campagne illustre une tendance croissante : les attaquants privilégient les méthodes discrètes et les infrastructures existantes plutôt que les logiciels malveillants complexes. Les routeurs compromis, souvent négligés en termes de mises à jour, deviennent des outils de surveillance à grande échelle. Les experts recommandent de vérifier régulièrement les paramètres DNS des routeurs et de mettre à jour les appareils obsolètes pour limiter les risques.