ANAVEM
EN
Cybersecurity threat scene showing hacker in dark server environment
ÉlevéCyberattaques

APT28 déploie le framework Covenant personnalisé pour l'espionnage

Les hackers russes APT28 ont modifié l'outil open-source Covenant pour des campagnes d'espionnage persistantes ciblant les secteurs gouvernementaux et de la défense.

Emanuel DE ALMEIDA 10 mars 2026, 11:00 2 min de lecture 3 vues 0 Commentaires

Dernière mise à jour 10 mars 2026, 17:53

Points Clés

  • Menace : APT28 utilisant le framework de post-exploitation Covenant personnalisé
  • Impact : Opérations d'espionnage à long terme contre des cibles de grande valeur
  • Portée : Organisations gouvernementales et de défense à l'échelle mondiale
  • Attribution : Groupe de menace parrainé par l'État russe

APT28 Arme l'Outil Open-Source Covenant

Le groupe de menaces APT28, parrainé par l'État russe, a déployé une version fortement modifiée du framework open-source Covenant pour l'exploitation postérieure dans des campagnes d'espionnage en cours. Les chercheurs en sécurité ont découvert la variante personnalisée utilisée pour un accès persistant aux réseaux compromis.

Le groupe, également connu sous le nom de Fancy Bear, a adapté l'outil légitime de red team pour échapper à la détection tout en maintenant une présence à long terme dans les environnements victimes. BleepingComputer a rapporté que les modifications incluent des capacités de furtivité améliorées et des protocoles de communication personnalisés.

Secteurs Gouvernementaux et de la Défense Ciblés

Les opérations d'espionnage ciblent principalement les agences gouvernementales, les sous-traitants de la défense et les organisations diplomatiques dans plusieurs pays. L'objectif d'APT28 reste cohérent avec les campagnes précédentes visant à collecter des renseignements sur les capacités militaires et les décisions de politique étrangère.

Les organisations utilisant des outils de sécurité standard peuvent avoir du mal à détecter le framework Covenant modifié en raison de ses origines légitimes et de ses techniques d'évasion personnalisées. La nature open-source de l'outil permet aux attaquants d'étudier les méthodes de détection et de développer des contre-mesures.

Framework Personnalisé Permettant un Accès Persistant

La variante modifiée de Covenant inclut des communications de commande et de contrôle chiffrées et des fonctionnalités anti-analyse absentes de l'outil original. Les opérateurs d'APT28 utilisent le framework pour exécuter des reconnaissances, des récoltes d'identifiants et des mouvements latéraux au sein des réseaux compromis.

Les équipes de sécurité devraient surveiller les modèles de trafic réseau inhabituels et mettre en œuvre une analyse comportementale pour détecter les activités d'exploitation postérieure. L'outil personnalisé démontre comment les acteurs de la menace arment des frameworks de sécurité légitimes à des fins malveillantes.

Questions Fréquentes

Qu'est-ce qu'APT28 et pourquoi est-il significatif ?
APT28, également connu sous le nom de Fancy Bear, est un groupe de menaces parrainé par l'État russe, connu pour ses campagnes d'espionnage sophistiquées ciblant les organisations gouvernementales et de défense dans le monde entier.
Comment fonctionne le cadre personnalisé Covenant ?
APT28 a modifié l'outil open-source Covenant de post-exploitation avec des capacités de furtivité améliorées, des communications chiffrées et des fonctionnalités anti-analyse pour un accès réseau persistant.
Quelles organisations sont à risque face à cette menace ?
Les agences gouvernementales, les sous-traitants de la défense et les organisations diplomatiques sont des cibles principales, bien que toute organisation possédant des renseignements précieux puisse être à risque.
#apt28#covenant-framework#espionage

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Tutoriels Associes

Approfondissez ce sujet avec nos guides pas a pas

IT administrator configuring USB blocking policies in Microsoft Intune admin center
Intermediaire
Cybersecurity

Comment bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune

Configurez les stratégies de réduction de la surface d'attaque de Microsoft Intune pour empêcher l'accès aux lecteurs USB sur les appareils Windows 10/11, protégeant contre les violations de données et les menaces de logiciels malveillants grâce aux restrictions de stockage amovible.

10 etapes
IT administrator configuring Windows LAPS with Microsoft Intune on multiple monitors
Intermediaire
Cybersecurity

Comment configurer Windows LAPS avec Microsoft Intune pour une sécurité renforcée

Configurer la solution de mot de passe administrateur local Windows (LAPS) avec Microsoft Intune pour gérer et sécuriser automatiquement les mots de passe administrateur local sur les appareils Windows de votre organisation.

6 etapes
IT administrator managing Windows 11 devices through Microsoft Intune admin center
Intermediaire
Cloud Computing

Comment supprimer l'icône météo de la barre des tâches de Windows 11 à l'aide de Microsoft Intune

Créer et déployer une stratégie de configuration Intune pour désactiver le widget météo des barres des tâches Windows 11 sur les appareils de l'entreprise. Processus complet de la création de la stratégie au suivi du déploiement.

8 etapes
Tous les Tutoriels

Intelligence Liée

Corrupted ZIP files with malicious code emerging on computer screen
Moyen
Logiciel malveillant

Zombie ZIP : comment des archives malformées permettent aux malwares d’échapper aux antivirus et EDR

10 mars, 21:055 min
BeatBanker Android : fausse appli Starlink sur Google Play vole vos identifiants bancaires
Eleve
Logiciel malveillant

BeatBanker Android : fausse appli Starlink sur Google Play vole vos identifiants bancaires

10 mars, 22:272 min
Cybersecurity threat visualization showing compromised network infrastructure with warning indicators
Eleve
Logiciel malveillant

BlackSanta EDR Killer : les hackers russes désactivent les outils de sécurité des entreprises via les RH

10 mars, 23:572 min
Cybersecurity analysts monitoring Lazarus Group ransomware campaign on multiple screens
Eleve
Cyberattaques

Lazarus Group : la Corée du Nord déploie Medusa ransomware et backdoors dans ses cyberattaques mondiales

24 févr., 22:182 min