Des comptes Gmail compromis alors que des hackers russes contournent la MFA

Dans une nouvelle vague troublante de cyberattaques, un acteur de menace cybernétique soutenu par l’État russe a été surpris en train d’usurper l’identité du Département d’État américain pour accéder de manière non autorisée aux comptes Gmail, en particulier ceux appartenant à des universitaires éminents ciblés et à des critiques de la Russie.

Selon les chercheurs en sécurité du groupe de renseignement sur les menaces de Google (GTIG), les attaques ont commencé au moins en avril et ont continué jusqu’au début juin 2025. Les hackers, suivis sous le nom UNC6293 et soupçonnés d’être liés au groupe bien connu APT29/ICECAP, ont utilisé des tactiques d’ingénierie sociale soigneusement élaborées pour extraire les identifiants de connexion de leurs victimes.

Les hackers ont utilisé la tromperie, pas de malware

Plutôt que d’utiliser des malwares typiques ou des liens de phishing flagrants, les attaquants ont opté pour une approche plus subtile. Au lieu de cela, ils ont construit la confiance avec leurs cibles au fil du temps en envoyant des e-mails personnalisés et de fausses invitations à des réunions. Pour renforcer leur crédibilité, les attaquants ont usurpé des adresses e-mail du Département d’État américain ayant l’apparence officielle, les incluant même dans la ligne CC de leurs messages.

Un exemple, partagé par Keir Giles, un chercheur britannique éminent sur la Russie, montre un message transféré (voir ci-dessous) avec une adresse apparemment crédible du Département d’État incluse parmi les destinataires—une tactique clé utilisée pour gagner la confiance.

Une fois que la cible a répondu, les attaquants ont envoyé un fichier PDF apparemment inoffensif — personnalisé pour chaque destinataire et thématisé pour ressembler à une communication officielle du Département d’État — avec de fausses instructions prétendant les aider à accéder à un système gouvernemental américain sécurisé.

En réalité, le document guidait la victime à créer ce qu’on appelle un mot de passe spécifique à l’application (ASP)—un code unique de 16 caractères utilisé pour permettre aux applications d’accéder aux comptes Gmail, contournant la vérification en deux étapes.

Il était crucial que la victime soit instruite de renvoyer ce code à l’attaquant. Armés de l’ASP, les hackers pouvaient se connecter à l’e-mail de l’utilisateur sans être détectés, obtenant un accès à long terme sans avoir besoin de mots de passe réguliers ou de déclencher des alertes MFA (authentification multi-facteurs).

« Les attaquants ont ensuite configuré un client de messagerie pour utiliser l’ASP, probablement dans le but final d’accéder et de lire la correspondance par e-mail de la victime. Cette méthode permet également aux attaquants d’avoir un accès persistant aux comptes », a écrit GTIG dans un article de blog jeudi.

Deux campagnes, une stratégie

** GTIG a identifié deux campagnes distinctes mais liées :

Campagne 1 a utilisé un thème du Département d’État américain, suggérant le nom ASP « ms.state.gov ».

Campagne 2 présentait un mélange de marques ukrainiennes et Microsoft.

Les deux campagnes ont utilisé les mêmes proxies résidentiels (91.190.191.117) et serveurs privés virtuels (VPS) dans l’infrastructure, facilitant ainsi le lien entre elles pour les enquêteurs.

Mesures prises

Google déclare avoir déjà sécurisé à nouveau les comptes Gmail compromis par ces campagnes et travaille activement à prévenir de futures attaques de ce type. La société rappelle aux utilisateurs que les ASP peuvent être créés et révoqués à tout moment. Lorsqu’un ASP est créé, Google envoie automatiquement une notification au compte Gmail correspondant de l’utilisateur, à l’adresse e-mail de récupération, et à tous les appareils connectés avec ce compte Google pour confirmer que l’action était intentionnelle.

Pour les utilisateurs à haut risque, tels que les journalistes, les activistes et les analystes politiques, Google fournit des ressources de sécurité renforcées telles que le programme de protection avancée (APP), qui offre une sécurité plus forte et désactive complètement la possibilité de créer des ASP.

« Nous espérons qu’une meilleure compréhension des tactiques et techniques améliorera les capacités de chasse aux menaces et conduira à de meilleures protections pour les utilisateurs dans l’ensemble de l’industrie », a conclu l’article de blog.