Les acteurs menaçants parrainés par l’État russe ont été associés à une nouvelle série d’attaques de collecte d’informations d’identification ciblant des individus associés à une agence turque de recherche énergétique et nucléaire, ainsi que du personnel affilié à un groupe de réflexion européen et à des organisations en Macédoine du Nord et en Ouzbékistan.
L'activité a été attribuée à APT28 (également connu sous le nom de BlueDelta), qui a été attribuée à une campagne de collecte d'informations d'identification « soutenue » ciblant les utilisateurs d'UKR.[.]net le mois dernier. L'APT28 est associée à la Direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU).
“L'utilisation de matériel leurre en langue turque et ciblé sur les régions régionales suggère que BlueDelta a adapté son contenu pour accroître sa crédibilité auprès de publics professionnels et géographiques spécifiques”, a déclaré le groupe Insikt de Recorded Future. “Ces sélections reflètent un intérêt continu pour les organisations liées à la recherche énergétique, à la coopération en matière de défense et aux réseaux de communications gouvernementaux pertinents pour les priorités du renseignement russe.”
La société de cybersécurité a décrit les attaques comme ciblant un ensemble restreint mais distinct de victimes en février et septembre 2025, la campagne exploitant de fausses pages de connexion conçues pour ressembler à des services populaires tels que Microsoft Outlook Web Access (OWA), les portails VPN de Google et Sophos.
Ces efforts se distinguent par le fait que les utilisateurs sans méfiance sont redirigés vers des sites légitimes après avoir saisi leurs informations d'identification sur les fausses pages de destination, évitant ainsi de déclencher des signaux d'alarme. Il a également été constaté que les campagnes s'appuient fortement sur des services tels que Webhook.[.]site, InfinityFree, Byet Internet Services et ngrok pour héberger les pages de phishing, filtrer les données volées et activer les redirections.
Dans une nouvelle tentative de leur donner un vernis de légitimité, les acteurs de la menace auraient utilisé des documents PDF légitimes comme leurres, notamment une publication du Gulf Research Center relative à la guerre Iran-Israël de juin 2025 et un rapport politique de juillet 2025 appelant à un nouveau pacte pour la Méditerranée publié par le groupe de réflexion sur le changement climatique ECCO.
La chaîne d'attaque commence par un e-mail de phishing contenant un lien raccourci qui, une fois cliqué, redirige les victimes vers un autre lien hébergé sur le webhook.[.]site, qui affiche brièvement le document leurre pendant environ deux secondes avant de rediriger vers un deuxième webhook[.]site hébergeant une page de connexion Microsoft OWA usurpée.
À l’intérieur de cette page se trouve un élément de formulaire HTML caché qui stocke le webhook.[.]URL du site et utilise JavaScript pour envoyer un
La balise « page ouverte », transmet les informations d'identification soumises au point de terminaison du webhook et redirige finalement vers le PDF hébergé sur le site Web réel.
APT28 a également été observé en train de mener trois autres campagnes :
- Une campagne de juin 2025 qui a déployé une page de collecte d'informations d'identification imitant une page de réinitialisation de mot de passe Sophos VPN hébergée sur l'infrastructure fournie par InfinityFree pour collecter les informations d'identification saisies dans le formulaire et rediriger les victimes vers un portail Sophos VPN légitime appartenant à un groupe de réflexion anonyme de l'UE.
- Une campagne de septembre 2025 qui utilisait des pages de collecte d'informations d'identification hébergées sur les domaines InfinityFree pour avertir faussement les utilisateurs des mots de passe expirés afin de les inciter à saisir leurs informations d'identification et de les rediriger vers une page de connexion légitime associée à une organisation militaire de la République de Macédoine du Nord et à un intégrateur informatique basé en Ouzbékistan.
- Une campagne d'avril 2025 qui utilisait une fausse page de réinitialisation de mot de passe Google hébergée sur Byet Internet Services pour collecter les informations d'identification des victimes et les divulguer vers une URL ngrok.
“L'abus continu par BlueDelta de l'infrastructure légitime des services Internet démontre la dépendance continue du groupe à l'égard de services jetables pour héberger et transmettre les données d'identification”, a déclaré la société appartenant à Mastercard. “Ces campagnes soulignent l'engagement soutenu du GRU en faveur de la collecte d'informations d'identification en tant que méthode peu coûteuse et à haut rendement de collecte d'informations pour soutenir les objectifs des services de renseignement russes.”