Le routeur comme arme du GRU : comment le renseignement russe a transformé les réseaux domestiques en plateforme d'espionnage mondiale

Le SBU, le FBI et les partenaires de l'UE ont démantelé l'opération « Dying Ember » — le GRU utilisait plus d'un millier de routeurs compromis appartenant à de petites entreprises et à des ménages dans plus d'une dizaine de pays, notamment en Ukraine, pour voler les identifiants de connexion des gouvernements et des structures militaires. Un appareil posé dans un coin d'un bureau aurait pu être un nœud d'espionnage de Moscou.

07/04/2026 18:47

22

RazomUA - Le routeur comme arme du GRU : comment le renseignement russe a transformé les réseaux domestiques en plateforme d'espionnage mondiale — Ілюстративне фото: Unsplash

Schéma : le crime d'autrui — un instrument du GRU

L'attaque ne commençait pas par le GRU. D'abord, des cybercriminels ordinaires infectaient les routeurs Ubiquiti EdgeOS avec un malware Moobot — en utilisant les mots de passe d'usine banals que les propriétaires n'avaient simplement pas changés. Ensuite, la Unité militaire 26165 du GRU, également connue sous le nom d'APT28, Fancy Bear ou Forest Blizzard, entrait en jeu : les pirates informatiques s'emparaient des appareils déjà infectés et intégraient leurs propres scripts, transformant le botnet en une plateforme mondiale d'espionnage.

Comme l'a expliqué le ministère de la Justice des États-Unis, « les pirates du GRU ont utilisé Moobot pour installer leurs propres scripts et fichiers, ce qui a réaffecté le botnet en plateforme mondiale de cybercriminalité ». Cette méthode permettait de masquer les véritables adresses IP des opérateurs et de rediriger le trafic malveillant via des routeurs dans des maisons résidentielles et de petits bureaux.

Qu'ont-ils volé et où

Sur les appareils compromis, le FBI a découvert un large arsenal d'outils APT28 : des scripts Python pour collecter les données de connexion du courrier électronique, des programmes pour intercepter les hachages NTLMv2 et des règles de routage personnalisées qui redirigent le trafic de phishing vers une infrastructure d'attaque spécialisée.

Les cibles étaient des gouvernements, des structures militaires et des entreprises dans au moins 11 pays : la République tchèque, l'Italie, la Lituanie, la Jordanie, le Monténégro, la Pologne, la Slovaquie, la Turquie, l'Ukraine, les Émirats arabes unis et les États-Unis. Selon l'avertissement radar conjoint du FBI, de la NSA et du Cybercommandement américain, les attaques se poursuivaient au moins depuis 2022.

« Nous expulsons le GRU de plus d'un millier de routeurs domestiques et de bureau et nous fermons la porte derrière lui — nous coupons l'accès du GRU au botnet qu'il utilisait pour les cyberattaques contre les pays du monde entier ».
Christopher Wray, directeur du FBI, Conférence de sécurité de Munich, 15 février 2024

Opération Dying Ember : comment le FBI a pénétré votre routeur pour chasser le GRU

Dans le cadre de l'opération Dying Ember dûment autorisée par le tribunal, les agents du FBI ont obtenu un accès à distance aux appareils infectés et ont utilisé Moobot lui-même pour supprimer les données volées et les fichiers malveillants. Ensuite, ils ont supprimé Moobot lui-même et bloqué les canaux d'accès à distance. L'opération a été menée conjointement par le FBI, le ministère de la Justice américain, Microsoft et la Fondation Shadowserver, avec la participation du SBU et des forces de l'ordre de Belgique, du Brésil, de France, d'Allemagne, de Lettonie, de Lituanie, de Norvège, de Pologne, de Corée du Sud et du Royaume-Uni.

Détail critique : le redémarrage du routeur infecté ne supprime pas le malware. Selon les recommandations du FBI, les propriétaires doivent effectuer une réinitialisation matérielle complète aux paramètres d'usine et mettre à jour le micrologiciel — la plupart ne l'ont toujours pas fait.

L'infrastructure civile comme champ de bataille

Cette opération n'est pas le premier cas du genre. En 2022, après l'invasion russe de grande envergure en Ukraine, le FBI a liquidé un autre botnet d'une autre unité du GRU — Sandworm (opération Cyclops Blink). Le modèle se répète : le GRU ne construit pas sa propre infrastructure à partir de zéro, mais parasite les appareils déjà compromis par des pirates criminels ordinaires.

Les chercheurs de l'Oxford Internet Institute décrivent cette tactique comme « l'effacement de la frontière entre l'infrastructure militaire et civile » : l'État utilise des outils criminels pour se cacher parmi des millions d'utilisateurs légitimes — et compliquer l'attribution des attaques devant les tribunaux ou au niveau diplomatique.

Plus de 1 000 routeurs dans plus de 10 pays — l'ampleur confirmée du botnet au moment de sa liquidation
Ubiquiti EdgeOS — cible principale : les appareils ne se mettent pas à jour automatiquement et sont largement utilisés par les petites entreprises
Mot de passe d'usine — point d'entrée initial dans la plupart des cas documentés
APT28 actif depuis 2007 — attaques contre les gouvernements, les armées et les entreprises du monde entier

Si le GRU réapplique ce schéma — et les précédents montrent qu'ils reviennent avec des outils modifiés — la question est de savoir si les fabricants de routeurs et les régulateurs parviendront à mettre en œuvre le changement obligatoire des mots de passe d'usine avant le prochain cycle : tant qu'Ubiquiti et les marques similaires ne passeront pas à une personnalisation obligatoire des paramètres « d'usine », des millions d'appareils resteront des portes ouvertes pour la prochaine opération.

Actualités du monde

1

L'Autriche a fait don d'un camion de pompiers équipé d'une échelle à Bilogorodka : quel impact cela aura-t-il sur la sécurité de la communauté ?

2

L'Iran se rapproche de la capitulation, la flotte russe coule et le premier train Eurorail arrive à Oujhorod : résumé de la semaine

3

ANKA : le parcours de l'enfance à la grande scène

4

Traditions authentiques, commerce local et charité : comment Sviatopetrivske a accueilli le printemps

5

The Elliens : sans règles. Sans peur. À fond

Communauté

42 millions et des questions des familles : qui et comment construit l'Allée de la Mémoire à Irpin

La reconstruction du secteur des sépultures du cimetière d'Irpin a repris après une pause hivernale — avec des justifications météorologiques et un sous-traitant de Bakhmout pour 42,72 millions de hryvnias. Les familles des défunts ont été impliquées dans les consultations, mais le mécanisme de leur influence sur la qualité des travaux reste flou.

il y a 4 heures

Politique

L'homme qui a fait du Shakhtar une puissance européenne : Mircea Lucescu est décédé

L'entraîneur roumain a transformé le club de Donetsk d'un champion régional en vainqueur de la Coupe de l'UEFA — et est resté citoyen d'honneur de la ville, actuellement occupée par la Russie.

il y a 4 heures

Communauté

272 familles, trois ans d'attente, 144 appartements de la première tranche : enfin les travaux de fondation commencent à Hostomel

Les maisons de la cité militaire ont été détruites le premier jour de l'invasion à grande échelle. Depuis, les résidents ont traversé un mémorandum français sans résultats, des certificats de logement pour certains habitants et enfin - une véritable excavation.

il y a 5 heures

Adjointe du bureau de poste s'est approprié les pensions de 23 personnes : comment le système d'« imputation en frais » contourne le contrôle

Région de Kiev : une femme de 54 ans soupçonnée d'avoir poignardé son amie par jalousie.

«Plaques "attrayantes" contre des pots‑de‑vin : à Kiev, un employé du centre de service et un intermédiaire seront jugés — qu'est‑ce que cela signifie pour la confiance envers le ministère de l'Intérieur ?»