Amazon perturbe une campagne de 'watering hole' du groupe russe APT29

L'équipe d'intelligence sur les menaces d'Amazon a identifié et perturbé une campagne de "watering hole" menée par APT29, un acteur associé au service de renseignement extérieur russe (SVR). La campagne utilisait des sites web légitimes compromis pour rediriger les visiteurs vers une infrastructure malveillante conçue pour inciter les utilisateurs à autoriser des appareils contrôlés par l'attaquant via le flux d'authentification par code d'appareil de Microsoft.

Cette tactique opportuniste démontre les efforts continus d'APT29 pour étendre ses opérations en vue d'une collecte d'informations plus large. Le groupe a montré une évolution de ses tactiques, notamment des tentatives précédentes en octobre 2024 pour utiliser des domaines imitant AWS à des fins de phishing, qui ont été perturbées par Amazon.

De plus, Google Threat Intelligence Group a rapporté en juin 2025 des campagnes de phishing d'APT29 ciblant des universitaires et des critiques de la Russie. La campagne actuelle met en évidence une concentration continue sur la collecte d'identifiants et de renseignements, avec des approches techniques affinées.

Amazon a identifié l'activité grâce à une analyse créée pour l'infrastructure d'APT29. L'enquête a révélé que l'acteur avait compromis divers sites web légitimes et y avait injecté du JavaScript obfusqué. Amazon a noté la capacité d'APT29 à adapter rapidement son infrastructure en réponse aux perturbations, passant des redirections JavaScript aux redirections côté serveur sur une nouvelle infrastructure.