Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle se déroulera à Rennes du 3 au 5 juin 2026.

APT28, sarA Is watching you!Charles Meslay, Robin Kwiatkowski


Date : 05 juin 2026 à 09:30 — 30 min.

Nous commencerons par présenter APT28, un mode opératoire d’attaque associé à la Direction Générale des Renseignements (GRU) de l'État-Major des Forces Armées de la Fédération de Russie. Ce mode opératoire s’inscrit dans le contexte de la guerre en Ukraine, ce qui en fait une menace actuelle ciblant l’Ukraine, et ses alliés, dont la France. Depuis 2022, ce mode opératoire utilisait majoritairement des implants à usage unique ou utilisés pendant un cours laps de temps ainsi qu’une infrastructure basée sur des équipements de bordures compromis, souvent peu supervisés. Depuis décembre 2024, APT28 utilise une chaîne d’infection plus évoluée composée de plusieurs implants en C, C++ et .NET qui, contrairement aux précédents implants, est vouée à être ré-utilisée. Nous présenterons alors comment l’analyse de ces implants en 2025 nous a fait prendre conscience que les outils d’intelligence artificielle peuvent dès à présent accélérer le travail d’un analyste de logiciels malveillants mais qu’il manquait une couche d’orchestration pour obtenir une meilleure automatisation. Cela nous a mené à développer un outil d’aide au reverse de logiciel malveillant à l’aide d’intelligence artificielle. Nous détaillerons donc le fonctionnement global de la solution d’un point de vue méthodologique ainsi que les résultats obtenus sur les différents implants de cette chaîne d’infection.

Les objectifs sont ainsi de présenter à l’auditoire :

  • Une menace étatique Russe via sa chaîne d’infection actuelle. Ce MOA a aussi pour particularité d’utiliser des équipements de bordure compromis comme infrastructure opérationnelle. Ces équipements ont pour avantage (ou inconvénient) d’être peu supervisés et souvent non mis à jour. L’objectif est donc aussi de sensibiliser l’auditoire à cette problématique et aux TTPs d’APT28.
  • Comment des outils à base de LLM peuvent actuellement aider à analyser ce type d’implant en présentant notre approche et nos résultats (qu’il s’agisse des succès mais aussi des limitations). Nous espérons que cela contribuera à donner un meilleur aperçu des possibilités d’automatisation du reverse engineering via LLM en allant plus loin que la simple utilisation d’un serveur MCP.