Retour au blog
Threat actorsAPTgéopolitique

APT28 et APT29 : les opérations cyber russes décryptées

Publié le 2026-04-128 min de lectureFlorian

Deux groupes, deux services de renseignement

La Russie dispose de deux groupes APT (Advanced Persistent Threat) majeurs, chacun rattaché à un service de renseignement différent :

APT28 (Fancy Bear, Sofacy, Pawn Storm, Strontium) est attribué à l'unité 26165 du GRU (renseignement militaire russe). Ses opérations sont souvent agressives, rapides et axées sur la déstabilisation politique.

APT29 (Cozy Bear, Nobelium, Midnight Blizzard, The Dukes) est attribué au SVR (service de renseignement extérieur russe). Ses opérations sont plus furtives, plus patientes et orientées vers le renseignement stratégique à long terme.

APT28 : opérations notables

Piratage du Comité national démocrate (2016)

APT28 a compromis les systèmes du DNC et exfiltré des milliers d'emails qui ont été publiés par WikiLeaks pendant la campagne présidentielle américaine. L'objectif était la déstabilisation politique.

Vecteur : spear phishing ciblé avec des liens vers de faux portails de connexion Google.

Piratage de TV5Monde (2015)

APT28 a pris le contrôle des systèmes de la chaîne française TV5Monde, interrompant la diffusion pendant plusieurs heures. L'attaque avait été initialement attribuée à l'État islamique (une fausse bannière), avant que l'ANSSI ne l'attribue au groupe russe.

Campagnes contre les élections européennes

APT28 a ciblé les processus électoraux en France (2017), en Allemagne (Bundestag, 2015), et dans d'autres pays européens. Les techniques incluent le spear phishing, la compromission de boîtes mail et la publication de documents volés.

APT29 : opérations notables

SolarWinds (2020)

La compromission de SolarWinds Orion est l'opération la plus sophistiquée attribuée à APT29. L'insertion d'une backdoor dans le processus de compilation d'un logiciel utilisé par 18 000 organisations démontre une capacité technique et une patience exceptionnelles.

Compromission de Microsoft (2023-2024)

APT29 a accédé aux emails de cadres dirigeants de Microsoft en exploitant un ancien compte de test qui n'avait pas le MFA activé. L'attaque a utilisé du password spraying et a permis au groupe de lire les emails de responsables de la sécurité et de la direction juridique de Microsoft.

Ciblage des laboratoires de vaccins COVID-19 (2020)

Pendant la pandémie, APT29 a ciblé les laboratoires pharmaceutiques travaillant sur les vaccins COVID-19 au Royaume-Uni, aux États-Unis et au Canada. L'objectif était le vol de propriété intellectuelle.

Tactiques, techniques et procédures comparées

APT28 :

  • Accès initial par spear phishing avec des documents Office piégés ou des faux portails d'authentification
  • Utilisation d'outils comme X-Agent, Sofacy, Zebrocy
  • Exfiltration rapide et publication pour la déstabilisation
  • Fausses bannières fréquentes

    • APT29 :

  • Accès initial par supply chain (SolarWinds), spear phishing ciblé ou exploitation de services exposés
  • Patience extrême (présence dormante pendant des mois)
  • Utilisation d'infrastructures cloud légitimes (Azure, AWS) pour masquer le trafic C2
  • Objectif de renseignement à long terme, pas de publication

    • Implications pour les entreprises européennes

    Les entreprises françaises et européennes sont des cibles régulières de ces groupes, en particulier :

  • Les entreprises travaillant dans les secteurs de la défense, de l'énergie et de la diplomatie
  • Les organisations impliquées dans les processus électoraux
  • Les entreprises technologiques dont les produits sont utilisés par des cibles d'intérêt
  • Les sous-traitants de ces entreprises (attaque par la supply chain)

    • Défenses recommandées

    Authentification renforcée : le MFA résistant au phishing (FIDO2) est indispensable pour les comptes à haut privilège.

    Détection du mouvement latéral : les APT se déplacent lentement dans le réseau. La détection des connexions inhabituelles entre systèmes est critique.

    Monitoring des accès cloud : les deux groupes utilisent des services cloud légitimes. Surveillez les accès OAuth inhabituels et les configurations de tenant.

    Exercices de red team : simulez les TTP de ces groupes pour tester vos défenses.

    La menace APT est réelle pour les entreprises françaises, y compris les PME qui font partie de la supply chain d'entreprises stratégiques. CleanIssue aide à identifier les surfaces d'attaque que ces groupes exploitent.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    Threat actorsAPT

    Lazarus Group : l'APT nord-coréen derrière les vols de crypto et les braquages bancaires

    Profil du groupe Lazarus : tactiques, opérations majeures (Bangladesh Bank, Ronin, Bybit), outils et moyens de défense.

    2026-04-10 · 8 min de lecture
    Threat actorsransomware

    Cl0p, LockBit, ALPHV : l'écosystème ransomware moderne en 2026

    Cartographie de l'écosystème ransomware en 2026 : le modèle RaaS, les principaux groupes, leurs tactiques et l'évolution vers l'extorsion pure.

    2026-04-11 · 8 min de lecture
    Hacks célèbressupply chain

    SolarWinds 2020 : l'attaque supply chain qui a tout changé

    Analyse complète de l'attaque SolarWinds Orion par le groupe russe Nobelium : méthode, impact sur 18 000 organisations et leçons pour la sécurité.

    2026-04-05 · 9 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-12

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit