Le groupe russophone Fancy Bear (APT28) est à l’origine d’une cyberattaque mondiale visant des routeurs vulnérables, avec près de 18 000 appareils compromis dans plus de 120 pays.
L’opération, active depuis août 2025, cible principalement des routeurs obsolètes MikroTik et TP-Link non mis à jour.
Le point clé repose sur une technique particulièrement discrète : le détournement du DNS, permettant d’intercepter le trafic sans interaction de l’utilisateur.
Une fois compromis, le routeur redirige les victimes vers de faux sites, capables de récupérer identifiants, mots de passe et jetons d’authentification.
Cette approche permet de contourner des protections comme la double authentification, en capturant les données directement à la source.
Des administrations, forces de l’ordre, entreprises télécoms et acteurs de l’énergie figurent parmi les cibles, mais aussi des particuliers.
Les chercheurs parlent d’une attaque “quasi invisible”, car elle exploite l’infrastructure réseau plutôt que les systèmes eux-mêmes.
Face à l’ampleur de l’opération, le FBI a lancé une contre-offensive pour reprendre le contrôle de routeurs infectés et neutraliser l’infrastructure du botnet.
Ce type d’attaque confirme une évolution majeure : les équipements réseau deviennent des points d’entrée stratégiques pour espionner ou infiltrer des systèmes sans alerter les utilisateurs.