APT31 : une campagne cybercriminelle en France dans l'ombre de Pegasus

La France, cible d'APT31 ? Il n'y a pas de doute, d'après l'ANSSI. L'agence a émis, mercredi, une alerte dans ce sens. Il y est question d'une « vaste campagne de compromission touchant de nombreuses entités françaises ».

Cette campagne aurait démarré début 2021. Elle exploite une technique dont le groupe cybercriminel - dit à la solde de Pékin - est coutumier. En l'occurrence, le piratage de routeurs pour en faire des relais d'anonymisation.

quick writeup from @ANSSI_FR on APT31 use of home routers as ORBs with IOCs:https://t.co/Hs4scHcTq6

and here is a potential early version of their router implant that we (cc @neelmehta) found in TAG:https://t.co/SAZtb9r4Wr

- billy leonard (@billyleonard) July 21, 2021

L'ANSSI diffuse une liste de 161 adresses IP correspondant à ces routeurs. Géographiquement, elles se répartissent comme suit.

CERT-FR reports that #APT31 is using compromised routers to target French organisations:https://t.co/kGFO9P0xRI

Lire aussi : Russie-Ukraine : Joe Biden redoute une cyberattaque d'ampleur

I put together some graphs demonstrating the ~160 IP addresses that were disclosed: pic.twitter.com/A7XIPe72qf

- Will | Bushido (@BushidoToken) July 21, 2021

Aussi appelé Zirconium et Judgment Panda, APT31 apparaît comme un collectif « polyvalent » donnant tant dans l'intelligence économique que dans le renseignement militaire. On a récemment découvert qu'il avait cloné un des outils d'espionnage de la NSA (EpMe) des années avant que le groupe Shadow Brokers le publie, entre autres exploits. L'an dernier, on lui a attribué des attaques aussi bien contre l'équipe de campagne de Joe Biden que contre des membres de l'administration Trump.

Hahaha 😄 ... who made this? pic.twitter.com/7NE2Wdv0b0

- Florian Roth (@cyb3rops) July 21, 2021

Illustration principale © Stephen Phillips - Hostreviews.co.uk