Le groupe de hackers Forest Blizzard pirate des routeurs SOHO vulnérables pour l'interception des flux Microsoft 365. Cette opération d'espionnage utilise une manipulation du DNS pour le vol de jetons d'authentification sans pénétration directe des serveurs de l'entreprise américaine.

Microsoft a détecté une activité suspecte en provenance du groupe APT28, une unité liée au renseignement militaire russe. Ces pirates visent des infrastructures réseau domestiques et de petites entreprises. Ils modifient les réglages DHCP des routeurs, notamment SOHO, pour une redirection du trafic vers des serveurs malveillants alors que l’utilisateur croit naviguer sur des services officiels.

Ces machines servent de relais pour la capture des accès à Outlook et aux services de bureautique en ligne. La National Cyber Security Centre (NCSC) confirme que cette méthode permet le contournement des protections classiques car la menace se situe entre l’appareil de la victime et le cloud.

Les attaquants exploitent des vulnérabilités connues sur des équipements de marques comme Ubiquiti ou MikroTik pour obtenir un accès initial. Une fois le contrôle établi, ils déploient des scripts personnalisés pour rediriger les requêtes DNS légitimes vers leurs propres serveurs VPS. Cette chaîne d’attaque complexe évite les systèmes de détection d’intrusion traditionnels basés sur les serveurs : tout le trafic semble provenir d’une adresse IP résidentielle fiable.