Le 29 août 2025, l’équipe de renseignement sur les menaces d’Amazon a annoncé avoir démantelé une opération de la cellule russe APT29, également connue sous le nom de Midnight Blizzard et liée au Service de renseignement extérieur (SVR). Les pirates avaient compromis des sites légitimes pour y injecter du code JavaScript obfusqué. Environ 10 % des visiteurs étaient redirigés vers de faux domaines imitant la vérification de Cloudflare, tels que findcloudflare[.]com, où ils étaient incités à « autoriser » un appareil contrôlé par les attaquants via le processus d’authentification par code de périphérique de Microsoft. Cette méthode donnait aux intrus un accès direct aux comptes cloud des victimes. Selon The Hacker News, APT29 a tenté de relancer la campagne en migrant vers d’autres services et en enregistrant de nouveaux domaines, mais les activités ont continué d’être neutralisées.
De nouvelles tactiques d’ingénierie sociale
Cette opération illustre l’évolution des techniques d’APT29, qui préfère désormais amener les utilisateurs à légitimer eux-mêmes l’accès plutôt que de cibler directement les terminaux. En juin, Google avait déjà documenté une campagne dans laquelle des victimes, y compris des experts occidentaux de la Russie, étaient convaincues de générer et transmettre des « mots de passe d’application », permettant aux assaillants d’accéder légalement aux boîtes de réception en contournant la double authentification. Microsoft et Volexity ont également signalé plusieurs vagues d’attaques ciblant Microsoft 365, tandis que Citizen Lab et Google Threat Intelligence ont décrit des manipulations sociales visant Gmail. Cette stratégie met particulièrement en danger les environnements institutionnels américains – gouvernement, ONG, universités et médias – fortement dépendants des services cloud.
Menace systémique pour les écosystèmes numériques
La méthode de détournement de 10 % du trafic à partir de sites compromis accroît les risques pour les secteurs périphériques aux élections, tels que les médias régionaux, les associations ou les universités. Même sans cibler directement l’infrastructure électorale, la collecte de courriels, de contacts et de calendriers peut alimenter des campagnes d’influence ciblées. Pour Washington, ces opérations doivent être considérées comme des formes de guerre hybride plutôt que comme une simple cybercriminalité.
Réponse attendue de l’industrie et des gouvernements
Les attaques exploitant le flux « device code » soulignent une vulnérabilité structurelle : une fonction conçue pour simplifier l’accès aux objets connectés devient un cheval de Troie pour l’espionnage. Les experts estiment que les fournisseurs devraient désactiver par défaut ces processus à risque, renforcer la validation des applications OAuth et agir rapidement contre les domaines similaires trompeurs. Amazon, qui avait déjà exposé une campagne APT29 en 2024, confirme par cette nouvelle révélation l’importance d’une action proactive des acteurs privés. Pour les États-Unis, la réponse pourrait aller au-delà du renforcement de la cybersécurité, incluant des sanctions ciblées contre les opérateurs d’infrastructures et une pression accrue sur les registres et hébergeurs tolérants.
