Opération Masquerade : un réseau de cyberespionnage du GRU démantelé par le FBI et ses alliés

Le FBI, en collaboration avec le SRI roumain et des partenaires de renseignement de 14 autres pays, a démantelé un réseau prolongé de cyberespionnage militaire russe le 8 avril 2026, au cours d'une intervention baptisée « Opération Masquerade ». Selon les déclarations du Département de la Justice des États-Unis et du FBI, cette campagne était orchestrée par l'unité 26165 du GRU, également connue sous les noms d'APT28, Fancy Bear, Forest Blizzard, Sofacy Group, Pawn Storm et Sednit. L'unité exploitait des routeurs SOHO vulnérables, spécifiquement des modèles de la marque TP-Link, pour intercepter et dérober des données sensibles provenant de cibles militaires, gouvernementales et d'infrastructures critiques dans plusieurs États occidentaux. Le président roumain Nicușor Dan a confirmé la participation du SRI et a qualifié l'opération de preuve supplémentaire de la guerre hybride menée par la Russie contre l'Occident. La coalition internationale à l'origine de l'alerte conjointe comprenait des partenaires du Canada, de la République tchèque, du Danemark, de l'Estonie, de la Finlande, de l'Allemagne, de l'Italie, de la Lettonie, de la Lituanie, de la Norvège, de la Pologne, du Portugal, de la Roumanie, de la Slovaquie et de l'Ukraine, aux côtés de l'Agence nationale de sécurité américaine (NSA).

Les pirates réorientaient le trafic chiffré via des routeurs piratés Les agents du GRU ont exploité une vulnérabilité spécifique, référencée CVE-2023-50224, dans les routeurs TP-Link pour obtenir un accès, avant de modifier les paramètres DHCP et DNS des appareils, y insérant des serveurs de résolution DNS qu'ils contrôlaient. Une fois le routeur compromis, tous les appareils connectés — y compris les ordinateurs portables et les téléphones mobiles — héritaient des réglages modifiés à l'insu de l'utilisateur. L'infrastructure contrôlée par les attaquants interceptait alors toutes les requêtes de noms de domaine transitant par l'appareil. Le GRU fournissait ensuite des réponses DNS frauduleuses pour certains domaines et services, notamment Microsoft Outlook Web Access, permettant des attaques dites « de l'homme du milieu » (adversary-in-the-middle) contre le trafic chiffré. Par cette méthode, les pirates russes ont collecté des mots de passe, des jetons d'authentification, des courriels et des données de navigation web normalement protégés par le chiffrement SSL et TLS. Le SRI a précisé que « le GRU a compromis un large éventail d'entités mondiales, y compris en Roumanie, et a filtré les victimes en ciblant spécifiquement les informations des secteurs militaire, gouvernemental et des infrastructures critiques ». Selon le FBI, l'opération était active depuis au moins 2024.

Opération Masquerade — Chronologie des événements: — ; — ; —

Le président roumain appelle à un renforcement de la cybersécurité nationale Le président roumain Nicușor Dan, entré en fonction en 2025 après avoir été maire de Bucarest, a réagi à l'annonce du FBI dans un communiqué publié mercredi sur sa page Facebook personnelle. Il a confirmé que le SRI avait participé à l'opération multinationale et a présenté la cyberattaque comme un élément d'une stratégie plus large d'agression russe contre les nations occidentales. „La Russie poursuit sa guerre hybride contre les pays occidentaux et seul quelqu'un de mauvaise foi ne s'en rendrait pas compte. La Roumanie doit améliorer sa cybersécurité et continuer à collaborer avec ses partenaires occidentaux.” — Nicușor Dan via G4Media Le communiqué du président précise également que le réseau démantelé visait des « infrastructures sensibles dans plusieurs États occidentaux », le GRU collectant des « informations militaires, gouvernementales et relatives aux infrastructures critiques ». La participation du SRI s'est faite par l'intermédiaire de son Centre national Cyberint, selon Digi24. Les déclarations de M. Dan surviennent alors que la Roumanie approfondit son intégration dans les structures de sécurité occidentales ; cette opération souligne le rôle actif du pays dans les efforts de cyberdéfense collective au sein de l'OTAN.

APT28, également connu sous le nom de Fancy Bear, est lié depuis plusieurs années par les agences de renseignement occidentales au 85e Centre principal du service spécial du GRU (unité 26165). Le groupe a été associé à une série d'intrusions majeures ciblant des organisations gouvernementales, militaires et politiques en Europe et en Amérique du Nord. Le détournement de DNS (DNS hijacking) est une technique qui permet aux attaquants de rediriger silencieusement les utilisateurs vers des infrastructures malveillantes sans déclencher les alertes de sécurité standard, ce qui la rend particulièrement efficace contre les cibles utilisant des communications chiffrées.

Une coalition de quinze pays met en garde contre la vulnérabilité des routeurs Parallèlement au démantèlement du réseau, le FBI et ses partenaires ont émis un avertissement public conjoint exhortant les administrateurs réseau et les propriétaires d'appareils à prendre des mesures correctives immédiates pour réduire la surface d'attaque des équipements réseau périphériques. L'avis conjoint mentionne les 15 nations participantes, couvrant les flancs est et nord de l'OTAN, ce qui reflète l'ampleur géographique des cibles du GRU. 15 (nations) — pays participant à la coalition de l'Opération Masquerade Les autorités ont spécifiquement recommandé des mesures de protection pour les utilisateurs de routeurs, bien que des directives techniques détaillées aient été publiées séparément par les agences concernées. Le nom de l'intervention, « Opération Masquerade », a été confirmé par le Département de la Justice des États-Unis, selon G4Media, qui a initialement rapporté l'implication du SRI. Cette révélation s'ajoute à la liste grandissante des opérations cybernétiques russes documentées contre les infrastructures occidentales, dans un contexte où le conflit en Ukraine et les activités hybrides ciblant les États membres de l'OTAN demeurent des préoccupations majeures pour les gouvernements occidentaux.