Amazon déjoue une attaque watering hole d’APT29 visant Microsoft

brève actu

Amazon a stoppé une cyberattaque d’APT29 exploitant des sites piégés pour cibler Microsoft, illustrant la menace persistante des groupes liés à des États.

Amazon a récemment annoncé avoir perturbé une campagne de cyberattaque sophistiquée menée par APT29, un groupe de hackers lié à la Russie. Cette opération, qui ciblait principalement des utilisateurs de Microsoft, a été qualifiée de campagne « watering hole », une technique où les attaquants compromettent des sites web légitimes pour rediriger les visiteurs vers une infrastructure malveillante. L’objectif des hackers était de tromper les utilisateurs pour qu’ils autorisent des appareils contrôlés par les attaquants via le système d’authentification de code d’appareil de Microsoft. Cette perturbation par Amazon s’inscrit dans la lutte continue entre les géants technologiques et les acteurs malveillants parrainés par des États.

La campagne d’APT29, décrite comme opportuniste, exploitait des sites web compromis pour piéger les visiteurs. Une fois redirigés, les utilisateurs étaient incités à autoriser des appareils malveillants, permettant ainsi aux attaquants de potentiellement récolter des informations sensibles. Selon The Hacker News, cette opération faisait partie des efforts de collecte de renseignements du groupe APT29, également connu sous le nom de Cozy Bear. Le groupe APT29, lié au Service de renseignement extérieur de la Russie, a déjà été impliqué dans plusieurs cyberattaques notoires, ciblant souvent des entités gouvernementales et des entreprises à travers le monde.

Comme le détaille GBHackers, l’opération menée par Amazon en août 2025 représente un nouvel épisode dans la bataille incessante entre les entreprises technologiques et les menaces cybernétiques soutenues par des États. En démantelant l’infrastructure d’APT29, Amazon a non seulement protégé ses utilisateurs, mais a également envoyé un message aux cybercriminels.

Comprendre l’attaque watering hole : la méthode discrète d’APT29 pour piéger les utilisateurs

Une attaque watering hole (ou « point d’eau ») fonctionne un peu comme un piège tendu près d’un point de passage fréquenté. Imaginez que des cybercriminels observent quels sites web des professionnels visitent régulièrement – comme un portail de documentation ou un outil en ligne utilisé tous les jours. Ensuite, ils trouvent un moyen de pirater ce site, sans que cela se voie, pour y ajouter un lien ou un code malveillant.

Quand un utilisateur se rend sur ce site en toute confiance, il est redirigé automatiquement vers une page piégée qui ressemble à un service connu – ici, une page de connexion Microsoft. L’utilisateur pense faire une action normale, comme connecter un appareil ou saisir un code d’authentification. En réalité, il est en train de donner l’accès à son compte ou à son organisation aux attaquants.

Dans l’attaque menée par APT29, ce scénario a été précisément utilisé pour tromper les victimes et contourner les protections classiques. En se servant de sites de confiance et de procédures familières, les hackers espéraient passer inaperçus et collecter des informations sensibles. C’est ce qu’Amazon a réussi à stopper en démantelant l’infrastructure derrière cette campagne.