Des acteurs malveillants soupçonnés d’avoir des liens avec la Russie ont été observés en train de profiter d’une fonctionnalité de compte Google appelée mots de passe spécifiques à l’application (ou mots de passe d’application) dans le cadre d’une nouvelle tactique d’ingénierie sociale conçue pour accéder aux e-mails des victimes.

Les détails de cette campagne hautement ciblée ont été divulgués par Google Threat Intelligence Group (GTIG) et Citizen Lab, affirmant que l’activité vise à se faire passer pour le Département d’État américain.

« D’avril au moins jusqu’au début juin 2025, cet acteur a ciblé d’éminents universitaires et critiques de la Russie, utilisant souvent des méthodes de création de relations approfondies et des leurres sur mesure pour convaincre la cible de mettre en place des mots de passe spécifiques à l’application (ASP), ont déclaré les chercheurs de GTIG Gabby Roncone et Wesley Shields .

« Une fois que la cible partage le mot de passe ASP, les attaquants établissent un accès persistant à la boîte aux lettres de la victime. »

L’activité a été attribuée par Google à un groupe de menaces qu’il suit sous le nom UNC6293, qui, selon lui, est probablement affilié au groupe de piratage parrainé par l’État russe appelé APT29 (alias BlueBravo, Cloaked Ursa, CozyLarch, Cozy Bear, ICECAP, Midnight Blizzard et The Dukes).

L’ingénierie sociale se déroule sur une période de plusieurs semaines pour établir un rapport avec les cibles, plutôt que d’induire un sentiment de pression ou d’urgence qui aurait pu autrement susciter des soupçons.

Il s’agit d’envoyer des courriers électroniques de phishing bénins déguisés en invitations à des réunions qui incluent pas moins de quatre adresses fictives différentes avec l’adresse électronique « @state.gov » dans la ligne CC pour lui donner un semblant de crédibilité.

« Une cible pourrait se dire : « Si ce n’est pas légitime, l’un de ces employés du Département d’État dirait sûrement quelque chose, surtout si je réponds et le garde en copie », a déclaré le Citizen Lab .

« Nous pensons que l’attaquant sait que le serveur de messagerie du Département d’État est apparemment configuré pour accepter tous les messages et n’émet pas de réponse de « rebond » même lorsque l’adresse n’existe pas. »

Cela indique que ces attaques sont méticuleusement planifiées et exécutées pour inciter les victimes à divulguer un code d’accès à 16 chiffres qui donne à l’adversaire la permission d’accéder à leur boîte aux lettres sous prétexte de permettre des « communications sécurisées entre les employés internes et les partenaires externes ».

Google décrit ces mots de passe d’application comme un moyen pour une application ou un appareil moins sécurisé d’accéder au compte Google d’un utilisateur sur lequel l’authentification à deux facteurs (2FA) est activée.

« Lorsque vous utilisez la validation en deux étapes, l’accès à votre compte Google peut être bloqué pour certaines applications ou certains appareils moins sécurisés », explique l’entreprise. « Les mots de passe d’application permettent à l’application ou à l’appareil bloqué d’accéder à votre compte Google. »

Les messages initiaux sont conçus pour susciter une réponse de la part de la cible afin d’organiser une réunion, après quoi elle reçoit un document PDF qui répertorie une série d’étapes pour créer un mot de passe d’application afin d’accéder en toute sécurité à un faux environnement cloud du Département d’État et de partager le code avec eux.

« Les attaquants ont ensuite configuré un client de messagerie pour utiliser l’ASP, probablement dans le but d’accéder aux e-mails de la victime et de les lire », a déclaré GTIG. « Cette méthode leur permet également d’avoir un accès permanent aux comptes. »

Google a déclaré avoir observé une deuxième campagne à thématique ukrainienne, et que les attaquants se sont connectés aux comptes des victimes principalement via des proxys résidentiels et des serveurs VPS pour échapper à la détection. L’entreprise a indiqué avoir depuis pris des mesures pour sécuriser les comptes compromis par ces campagnes.

Les liens entre UNC6293 et ​​APT29 découlent d’une série d’attaques d’ingénierie sociale similaires qui ont exploité de nouvelles techniques telles que le phishing par code d’appareil et le phishing par jonction d’appareil pour obtenir un accès non autorisé aux comptes Microsoft 365 depuis le début de l’année.

Le phishing par jonction d’appareils est particulièrement remarquable car il incite les victimes à renvoyer aux attaquants un code OAuth généré par Microsoft pour détourner leurs comptes.

« Depuis avril 2025, Microsoft a observé que des acteurs malveillants suspectés d’être liés à la Russie utilisaient des messages d’application ou des e-mails tiers faisant référence à des invitations à des réunions à venir pour fournir un lien malveillant contenant un code d’autorisation valide », a révélé Microsoft le mois dernier.

« Lorsqu’il est cliqué, le lien renvoie un jeton pour le service d’enregistrement des appareils, permettant l’enregistrement de l’appareil de l’acteur de la menace auprès du locataire. »