PolySécure Podcast - Teknik - Double-Tap Campaign - Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations

Parce que… c’est l’épisode 0x656!

Shameless plug

8 et 9 novembre 2025 - DEATHcon
17 au 20 novembre 2025 - European Cyber Week
25 et 26 février 2026 - SéQCure 2026
- CfP
31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026
14 au 17 avril 2026 - Botconf 2026
28 et 29 avril 2026 - Cybereco Cyberconférence 2026
9 au 17 mai 2026 - NorthSec 2026
3 au 5 juin 2026 - SSTIC 2026
19 septembre 2026 - Bsides Montréal
Description

Ce podcast technique réunit Nicolas, l’animateur, avec Maxime Arquillière et Amaury-Jacques Garçon, deux analystes en cybermenace de sekoia., une société française spécialisée dans le renseignement sur les menaces informatiques (CTI - Cyber Threat Intelligence). Leur discussion porte sur une investigation approfondie d’une campagne de cyberespionnage sophistiquée baptisée “Double Tap”, probablement liée au groupe APT28 du renseignement militaire russe.

Le contexte et la méthodologie

Maxime et Amaury expliquent d’abord leur approche du travail de CTI, qui repose largement sur une veille continue des publications d’organismes spécialisés (CERT français, américains, canadiens) et de chercheurs en cybersécurité. Cette collecte systématique d’informations en source ouverte leur permet de modéliser les menaces et de créer des règles de détection, notamment des règles Yara pour identifier les fichiers malveillants.

Leur équipe dispose de quatre spécialités : le tracking d’infrastructure, les règles de détection, le reverse engineering de malware, et l’analyse stratégique qui vise à comprendre les objectifs géopolitiques derrière les attaques étatiques. Cette approche multidimensionnelle permet une compréhension globale des cybermenaces.

La découverte initiale

L’investigation démarre à partir d’un article publié fin juillet 2024 par le CERT-UA (l’autorité ukrainienne de réponse aux incidents), qui documente des attaques ciblant régulièrement l’Ukraine. À partir de ces informations, l’équipe a créé des règles de détection, dont certaines volontairement plus souples pour capturer d’éventuelles variantes.

Mi-octobre, une de ces règles Yara a détecté un document Word malveillant sur VirusTotal, une plateforme où sont analysés des millions de fichiers suspects. Ce document contenait une macro et semblait être issu du ministère des Affaires étrangères du Kazakhstan. Cette alerte a déclenché une investigation approfondie qui a permis de découvrir au total 18 documents similaires, dont une dizaine n’avaient jamais été publiés auparavant.

L’analyse technique : la chaîne d’infection “Double Tap”

Amaury détaille la sophistication technique de cette attaque. Les documents malveillants utilisent une technique de social engineering : ils apparaissent floutés ou déformés à l’ouverture, incitant la victime à cliquer sur “Activer les macros” pour les rendre lisibles. Cette action déclenche une chaîne d’infection particulièrement élaborée.

La particularité qui a donné son nom à la campagne est l’utilisation d’un double mécanisme : le premier document Word crée un second document contenant des macros malveillantes dans un répertoire temporaire du système. Cette approche en plusieurs étapes vise à contourner les systèmes de détection. Une fois activé, le malware modifie les paramètres de sécurité du système pour permettre l’exécution automatique de macros futures, établit une persistance qui se réactive toutes les quatre minutes, et contacte un serveur de commande et contrôle (C2).

Le code, largement obfusqué, construit progressivement une troisième macro qui communique avec un serveur externe pour transmettre des informations sur la machine compromise (nom d’utilisateur, nom du PC) et potentiellement déployer un backdoor Python appelé “Cherry Spy” pour l’exfiltration de données.

La dimension géopolitique

L’analyse de Maxime révèle que les dix documents découverts étaient tous rédigés en kazakh et concernaient des sujets diplomatiques : câbles d’ambassades kazakhes en Belgique et Afghanistan, comptes-rendus de visites présidentielles, et notamment une déclaration diplomatique conjointe entre l’Allemagne et le Kazakhstan datant de septembre 2024, lors d’une visite du chancelier Olaf Scholz visant à diversifier les approvisionnements énergétiques allemands.

Ces documents, datés entre 2021 et 2024, semblent être des documents légitimes récupérés lors d’opérations antérieures et réutilisés comme appâts pour cibler des diplomates et officiels kazakhs. Le Kazakhstan, bien qu’allié traditionnel de la Russie, adopte une politique de plus en plus indépendante, ce qui expliquerait l’intérêt du renseignement russe.

Le lien avec APT28 et Zebrocy

L’équipe établit des connexions avec APT28 (également connu sous le nom de Fancy Bear), un groupe de cyberespionnage du renseignement militaire russe (GRU). Ils identifient également des similitudes avec Zebrocy, un mode opératoire actif entre 2015 et 2020 qui ciblait spécifiquement l’Asie centrale et utilisait des techniques similaires de “double tap”.

L’importance du partage

Les chercheurs soulignent l’importance de publier leurs découvertes en source ouverte. Bien que cela puisse alerter les attaquants et les pousser à modifier leur infrastructure, cette transparence contribue à l’amélioration de la cybersécurité globale, permettant à d’autres chercheurs de construire sur leurs travaux.

De manière remarquable, quelques jours après la publication de leur rapport, un média kazakh a annoncé qu’une inspection imprévue du ministère des Affaires étrangères serait menée suite aux révélations sur cette cyberattaque. L’équipe avait d’ailleurs tenté de contacter le gouvernement kazakh avant publication, sans recevoir de réponse.

Cette investigation illustre parfaitement la complexité du travail en CTI : combiner expertise technique, compréhension géopolitique et éthique du partage pour protéger efficacement contre les menaces étatiques sophistiquées qui peuvent s’étendre sur plusieurs années.

Notes

Double-Tap Campaign - Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations

Collaborateurs

Nicolas-Loïc Fortin
Maxime Arquillière
Amaury-Jacques Garçon

Crédits

Montage par Intrasecure inc
Locaux virtuels par Riverside.fm

Télécharger .m4a (60.2M) Télécharger .mp3 (47.3M)

Tag: apt

Actu - 1er février 01 février 2026 Parce que... c'est l'épisode 0x702!

SéQCure - Les initiatives du gouvernement du Québec en cybersécurité (Yvan Fournier) 20 janvier 2026 Parce que... c'est l'épisode 0x701!

Grok selon Cyber Citoyen et Polysécure 21 janvier 2026 Parce que... c'est l'épisode 0x700!

Actu - 25 janvier 2026 25 janvier 2026 Parce que... c'est l'épisode 0x699!

Teknik - Importance des standards ouverts et présentation d'Open XDR Architecture (OXA) 19 novembre 2025 Parce que... c'est l'épisode 0x698!

PME - L'importance du contrat avec son MSP 07 janvier 2026 Parce que... c'est l'épisode 0x697!

Actu - 18 janvier 2026 18 janvier 2026 Parce que... c'est l'épisode 0x696!

Spécial - Lorsque la sensibilisation en cybersécurité devient une série qu'on veut binger 07 janvier 2026 Parce que... c'est l'épisode 0x695!

PME - Rôle du MSP 07 janvier 2026 Parce que... c'est l'épisode 0x694!

Actu - 11 janvier 2026 11 janvier 2026 Parce que... c'est l'épisode 0x693!

Teknik - La guerre Red Team vs EDR - l’aspect technique et non business du problème (c'est la partie 2 BTW) 02 décembre 2025 Parce que... c'est l'épisode 0x692!

Teknik - CTI part 2 - tumble down the rabbit hole 31 octobre 2025 Parce que... c'est l'épisode 0x6xx!

Actu - 04 janvier 2026 04 janvier 2026 Parce que... c'est l'épisode 0x690!

H'umain - Dépression 27 octobre 2025 Parce que... c'est l'épisode 0x689!

PME - Le croisement des médias sociaux perso et corpo 11 décembre 2025 Parce que... c'est l'épisode 0x688!

Actu - 28 décembre 2025 28 décembre 2025 Parce que... c'est l'épisode 0x687!

Spécial - Create a Company Culture That Takes Cybersecurity Seriously 20 octobre 2025 Parce que... c'est l'épisode 0x686!

PME - La gestion du cycle de vie des identités sur les réseaux sociaux 11 décembre 2025 Parce que... c'est l'épisode 0x685!

La psychose IA selon Cyber Citoyen et PolySécure 16 décembre 2025 Parce que... c'est l'épisode 0x684!

Actu - 21 décembre 2025 21 décembre 2025 Parce que... c'est l'épisode 0x683!

Teknik - SOC souverain 19 novembre 2025 Parce que... c'est l'épisode 0x682!

Spécial - Sommes-nous trop dépendant du numérique? 16 septembre 2025 Parce que... c'est l'épisode 0x681!

PME - Une bonne configuration de départ des médias sociaux pour entreprise 03 décembre 2025 Parce que... c'est l'épisode 0x680!

Actu - 14 décembre 2025 14 décembre 2025 Parce que... c'est l'épisode 0x679!

Teknik - Agentic Access - Auth Gets You In. Zero Trust Keeps You Safe 24 octobre 2025 Parce que... c'est l'épisode 0x678!

Teknik - Don't Go with the flaw 04 décembre 2025 Parce que... c'est l'épisode 0x677!

PME - Introduction à la sécurité des réseaux sociaux 03 décembre 2025 Parce que... c'est l'épisode 0x676!

Actu - 07 décembre 2025 07 décembre 2025 Parce que... c'est l'épisode 0x675!

PME - Sensibilisation 05 novembre 2025 Parce que... c'est l'épisode 0x674!

Teknik - Threat Hunting in KQL 101 08 novembre 2025 Parce que... c'est l'épisode 0x673!

Spécial - 10 ans d'ECW, le PeC, la collaboration communautaire et l'espace régalien 19 novembre 2025 Parce que... c'est l'épisode 0x672!

Actu - 30 novembre 2025 30 novembre 2025 Parce que... c'est l'épisode 0x671!

Teknik - Split-Second Side Doors - How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model 11 novembre 2025 Parce que... c'est l'épisode 0x670!

PME - DarkWeb 05 novembre 2025 Parce que... c'est l'épisode 0x669!

Spécial - Le rôle des conseils d'administration 13 septembre 2025 Parce que... c'est l'épisode 0x668!

Actu - 23 novembre 2025 23 novembre 2025 Parce que... c'est l'épisode 0x667!

Teknik - Phishing Campaigns “I Paid Twice” Targeting Booking.com Hotels and Customers 04 novembre 2025 Parce que... c'est l'épisode 0x666!

PME - Hygiène de base 22 octobre 2025 Parce que... c'est l'épisode 0x665!

Le bingo selon Cyber Citoyen et Polysécure 12 novembre 2025 Parce que... c'est l'épisode 0x664!

Actu - 16 novembre 2025 16 novembre 2025 Parce que... c'est l'épisode 0x663!

H'umain - L'ingénierie sociale, les biais cognitifs et la formation en entreprise 15 octobre 2025 Parce que... c'est l'épisode 0x662!

PME - Les formulaires 12 octobre 2025 Parce que... c'est l'épisode 0x661!

Spécial - L'importance d'un product manager 13 septembre 2025 Parce que... c'est l'épisode 0x660!

Actu - 10 novembre 2025 10 novembre 2025 Parce que... c'est l'épisode 0x659!

Spécial - Si demain, tout tombait 15 septembre 2025 Parce que... c'est l'épisode 0x658!

Teknik - La guerre Red Team vs EDR - l’aspect business et non technique du problème 29 octobre 2025 Parce que... c'est l'épisode 0x657!

Teknik - Double-Tap Campaign - Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations 13 octobre 2025 Parce que... c'est l'épisode 0x656!

Parce que… c’est l’épisode 0x656!

Shameless plug

Description

Le contexte et la méthodologie

La découverte initiale

L’analyse technique : la chaîne d’infection “Double Tap”

La dimension géopolitique

Le lien avec APT28 et Zebrocy

L’importance du partage

Notes

Collaborateurs

Crédits

Actu - 2 novembre 2025 02 novembre 2025 Parce que... c'est l'épisode 0x655!

Teknik - Dans le feu des tranchés, opérer le SOC au Hackfest 23 octobre 2025 Parce que... c'est l'épisode 0x654!

PME - NotPetya, l'histoire des dommages collatéraux 17 septembre 2025 Parce que... c'est l'épisode 0x653!

Le monde selon Cyber Citoyen et Polysécure collab no9 22 octobre 2025 Parce que... c'est l'épisode 0x652!

Actu - 26 octobre 2025 26 octobre 2025 Parce que... c'est l'épisode 0x651!

Teknik - The Overlooked Playground - An Attacker’s Journey Through GCP 13 septembre 2025 Parce que... c'est l'épisode 0x650!

PME - Balayage de vulnérabilités vs test d'intrusion avec des ninjas 17 septembre 2025 Parce que... c'est l'épisode 0x649!

Spécial - Entretiens avec Miguel De Bruycker du Centre pour la Cybersécurité Belgique 14 octobre 2025 Parce que... c'est l'épisode 0x648!

Actu - 19 ocotbre 2025 19 octobre 2025 Parce que... c'est l'épisode 0x647!

Spécial - Structurer l'expatriation 07 juillet 2025 Parce que... c'est l'épisode 0x646!

Teknik - Browser Detection and Response 10 juillet 2025 Parce que... c'est l'épisode 0x645!

PME - Les certifications 17 septembre 2025 Parce que... c'est l'épisode 0x644!

Actu - 12 octobre 2025 12 ocotbre 2025 Parce que... c'est l'épisode 0x643!

Teknik - Tendance pour terminer 2025 01 octobre 2025 Parce que... c'est l'épisode 0x642!

PME - La sécurité, trop cher? 17 septembre 2025 Parce que... c'est l'épisode 0x641!

Teknik - BloodHound et OpenGraph 13 septmbre 2025 Parce que... c'est l'épisode 0x640!

Actu - 5 octobre 2025 05 octobre 2025 Parce que... c'est l'épisode 0x639!

Spécial - Responsabilité IA 22 mai 2025 Parce que... c'est l'épisode 0x638!

PME - Petit quiz PME ou que ce que vous avez toujours voulu savoir 26 juillet 2025 Parce que... c'est l'épisode 0x637!

Le monde selon Cyber Citoyen et Polysécure édition GoSec (collab no8) 11 septembre 2025 Parce que... c'est l'épisode 0x636!

Actu - 28 septembre 2025 28 septembre 2025 Parce que... c'est l'épisode 0x635!

Actu - 1er février 01 février 2026
Parce que... c'est l'épisode 0x702!

SéQCure - Les initiatives du gouvernement du Québec en cybersécurité (Yvan Fournier) 20 janvier 2026
Parce que... c'est l'épisode 0x701!

Grok selon Cyber Citoyen et Polysécure 21 janvier 2026
Parce que... c'est l'épisode 0x700!

Actu - 25 janvier 2026 25 janvier 2026
Parce que... c'est l'épisode 0x699!

Teknik - Importance des standards ouverts et présentation d'Open XDR Architecture (OXA) 19 novembre 2025
Parce que... c'est l'épisode 0x698!

PME - L'importance du contrat avec son MSP 07 janvier 2026
Parce que... c'est l'épisode 0x697!

Actu - 18 janvier 2026 18 janvier 2026
Parce que... c'est l'épisode 0x696!

Spécial - Lorsque la sensibilisation en cybersécurité devient une série qu'on veut binger 07 janvier 2026
Parce que... c'est l'épisode 0x695!

PME - Rôle du MSP 07 janvier 2026
Parce que... c'est l'épisode 0x694!

Actu - 11 janvier 2026 11 janvier 2026
Parce que... c'est l'épisode 0x693!

Teknik - La guerre Red Team vs EDR - l’aspect technique et non business du problème (c'est la partie 2 BTW) 02 décembre 2025
Parce que... c'est l'épisode 0x692!

Teknik - CTI part 2 - tumble down the rabbit hole 31 octobre 2025
Parce que... c'est l'épisode 0x6xx!

Actu - 04 janvier 2026 04 janvier 2026
Parce que... c'est l'épisode 0x690!

H'umain - Dépression 27 octobre 2025
Parce que... c'est l'épisode 0x689!

PME - Le croisement des médias sociaux perso et corpo 11 décembre 2025
Parce que... c'est l'épisode 0x688!

Actu - 28 décembre 2025 28 décembre 2025
Parce que... c'est l'épisode 0x687!

Spécial - Create a Company Culture That Takes Cybersecurity Seriously 20 octobre 2025
Parce que... c'est l'épisode 0x686!

PME - La gestion du cycle de vie des identités sur les réseaux sociaux 11 décembre 2025
Parce que... c'est l'épisode 0x685!

La psychose IA selon Cyber Citoyen et PolySécure 16 décembre 2025
Parce que... c'est l'épisode 0x684!

Actu - 21 décembre 2025 21 décembre 2025
Parce que... c'est l'épisode 0x683!

Teknik - SOC souverain 19 novembre 2025
Parce que... c'est l'épisode 0x682!

Spécial - Sommes-nous trop dépendant du numérique? 16 septembre 2025
Parce que... c'est l'épisode 0x681!

PME - Une bonne configuration de départ des médias sociaux pour entreprise 03 décembre 2025
Parce que... c'est l'épisode 0x680!

Actu - 14 décembre 2025 14 décembre 2025
Parce que... c'est l'épisode 0x679!

Teknik - Agentic Access - Auth Gets You In. Zero Trust Keeps You Safe 24 octobre 2025
Parce que... c'est l'épisode 0x678!

Teknik - Don't Go with the flaw 04 décembre 2025
Parce que... c'est l'épisode 0x677!

PME - Introduction à la sécurité des réseaux sociaux 03 décembre 2025
Parce que... c'est l'épisode 0x676!

Actu - 07 décembre 2025 07 décembre 2025
Parce que... c'est l'épisode 0x675!

PME - Sensibilisation 05 novembre 2025
Parce que... c'est l'épisode 0x674!

Teknik - Threat Hunting in KQL 101 08 novembre 2025
Parce que... c'est l'épisode 0x673!

Spécial - 10 ans d'ECW, le PeC, la collaboration communautaire et l'espace régalien 19 novembre 2025
Parce que... c'est l'épisode 0x672!

Actu - 30 novembre 2025 30 novembre 2025
Parce que... c'est l'épisode 0x671!

Teknik - Split-Second Side Doors - How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model 11 novembre 2025
Parce que... c'est l'épisode 0x670!

PME - DarkWeb 05 novembre 2025
Parce que... c'est l'épisode 0x669!

Spécial - Le rôle des conseils d'administration 13 septembre 2025
Parce que... c'est l'épisode 0x668!

Actu - 23 novembre 2025 23 novembre 2025
Parce que... c'est l'épisode 0x667!

Teknik - Phishing Campaigns “I Paid Twice” Targeting Booking.com Hotels and Customers 04 novembre 2025
Parce que... c'est l'épisode 0x666!

PME - Hygiène de base 22 octobre 2025
Parce que... c'est l'épisode 0x665!

Le bingo selon Cyber Citoyen et Polysécure 12 novembre 2025
Parce que... c'est l'épisode 0x664!

Actu - 16 novembre 2025 16 novembre 2025
Parce que... c'est l'épisode 0x663!

H'umain - L'ingénierie sociale, les biais cognitifs et la formation en entreprise 15 octobre 2025
Parce que... c'est l'épisode 0x662!

PME - Les formulaires 12 octobre 2025
Parce que... c'est l'épisode 0x661!

Spécial - L'importance d'un product manager 13 septembre 2025
Parce que... c'est l'épisode 0x660!

Actu - 10 novembre 2025 10 novembre 2025
Parce que... c'est l'épisode 0x659!

Spécial - Si demain, tout tombait 15 septembre 2025
Parce que... c'est l'épisode 0x658!

Teknik - La guerre Red Team vs EDR - l’aspect business et non technique du problème 29 octobre 2025
Parce que... c'est l'épisode 0x657!

Teknik - Double-Tap Campaign - Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations 13 octobre 2025
Parce que... c'est l'épisode 0x656!

Actu - 2 novembre 2025 02 novembre 2025
Parce que... c'est l'épisode 0x655!

Teknik - Dans le feu des tranchés, opérer le SOC au Hackfest 23 octobre 2025
Parce que... c'est l'épisode 0x654!

PME - NotPetya, l'histoire des dommages collatéraux 17 septembre 2025
Parce que... c'est l'épisode 0x653!

Le monde selon Cyber Citoyen et Polysécure collab no9 22 octobre 2025
Parce que... c'est l'épisode 0x652!

Actu - 26 octobre 2025 26 octobre 2025
Parce que... c'est l'épisode 0x651!

Teknik - The Overlooked Playground - An Attacker’s Journey Through GCP 13 septembre 2025
Parce que... c'est l'épisode 0x650!

PME - Balayage de vulnérabilités vs test d'intrusion avec des ninjas 17 septembre 2025
Parce que... c'est l'épisode 0x649!

Spécial - Entretiens avec Miguel De Bruycker du Centre pour la Cybersécurité Belgique 14 octobre 2025
Parce que... c'est l'épisode 0x648!

Actu - 19 ocotbre 2025 19 octobre 2025
Parce que... c'est l'épisode 0x647!

Spécial - Structurer l'expatriation 07 juillet 2025
Parce que... c'est l'épisode 0x646!

Teknik - Browser Detection and Response 10 juillet 2025
Parce que... c'est l'épisode 0x645!

PME - Les certifications 17 septembre 2025
Parce que... c'est l'épisode 0x644!

Actu - 12 octobre 2025 12 ocotbre 2025
Parce que... c'est l'épisode 0x643!

Teknik - Tendance pour terminer 2025 01 octobre 2025
Parce que... c'est l'épisode 0x642!

PME - La sécurité, trop cher? 17 septembre 2025
Parce que... c'est l'épisode 0x641!

Teknik - BloodHound et OpenGraph 13 septmbre 2025
Parce que... c'est l'épisode 0x640!

Actu - 5 octobre 2025 05 octobre 2025
Parce que... c'est l'épisode 0x639!

Spécial - Responsabilité IA 22 mai 2025
Parce que... c'est l'épisode 0x638!

PME - Petit quiz PME ou que ce que vous avez toujours voulu savoir 26 juillet 2025
Parce que... c'est l'épisode 0x637!

Le monde selon Cyber Citoyen et Polysécure édition GoSec (collab no8) 11 septembre 2025
Parce que... c'est l'épisode 0x636!

Actu - 28 septembre 2025 28 septembre 2025
Parce que... c'est l'épisode 0x635!

Spécial - Reconversion en cybersécurité 22 juillet 2025
Parce que... c'est l'épisode 0x634!

PME - Protection des renseignements personelles 26 juillet 2025
Parce que... c'est l'épisode 0x633!

Actu - 21 septembre 2025 21 septembre 2025
Parce que... c'est l'épisode 0x632!

Spécial - Les boeufs sont lents mais la terre est patiente (Panel au BSides Montréal 2025) 13 septembre 2025
Parce que... c'est l'épisode 0x631!

Spécial - Hommage à Michel Cusin 13 septembre 2025
Parce que... c'est l'épisode 0x630!

Actu - 14 septembre 2025 14 septembre 2025
Parce que... c'est l'épisode 0x629!

PME - Questions sur l'IA 26 juillet 2025
Parce que... c'est l'épisode 0x628!

Teknik - Sécurité physique 18 juin 2025
Parce que... c'est l'épisode 0x627!

Actu - 7 septembre 07 septembre 2025
Parce que... c'est l'épisode 0x626!

PME - Programme FORCE (cybersécurité) de l'UQTR destiné aux PME 03 septembre 2025
Parce que... c'est l'épisode 0x625!

Teknik - Résilience OT 12 juin 2025
Parce que... c'est l'épisode 0x624!

Actu - 1er septembre 2025 01 septembre 2025
Parce que... c'est l'épisode 0x623!