Russian hacker group using Internet service providers to spy on foreign embassies

August 2, 2025 by 3 Comments

Hacking cyber - JFA HACKER GROUP LINKED to Russia’s Federal Security Service (FSB) has compromised Russia’s domestic internet infrastructure and is using it to target foreign diplomats stationed in Russia. According to a report, published last week by Microsoft Threat Intelligence, the hacker group behind this operation is Turla, also known as Snake, Venomous Bear, Group 88, Waterbug, and Secret Blizzard. Analysts have linked the group with “some of the most innovative hacking feats in the history of cyberespionage”.

Turla began its attempt to compromise a host of Russian internet service providers in February, according to Microsoft’s report. The group’s apparent goal has been to gain access to the software that enables Russian security agencies to legally intercept internet traffic, following the issuance of warrants by judges. This software is governed by Russia’s System for Operative Investigative Activities (SORM), which became law in 1995, under the presidency of Boris Yeltsin. All local, state, and federal government agencies in Russia use the SORM system to facilitate court-authorized telecommunications surveillance.

According to Microsoft, targeted Internet users receive an error message prompting them to update their browser’s cryptographic certificate. Consent by the user results in the targeted computer downloading and installing a malware. Termed ApolloShadow by Microsoft, the malware is disguised as a security update from Kaspersky, Russia’s most widely known antivirus software provider. Once installed the malware gives the hackers access to the content of the targeted user’s secure communications.

The Microsoft report states that, although Turla has been involved in prior attacks against diplomatic targets in Russia and abroad, this is the first time that the hacker group has been confirmed to have the capability to attack its targets at the Internet Service Provider (ISP) level. In doing so, Turla has been able to incorporate Russia’s domestic telecommunications infrastructure into its attack tool-kit, the report states. The report does not name the diplomatic facilities or the countries whose diplomats have been targeted by Turla hackers. But it warns that all “diplomatic personnel using local [internet service providers] or telecommunications services in Russia are highly likely targets” of the group.

Author: Joseph Fitsanakis | Date: 02 August 2025 | Permalink

Filed under Expert news and commentary on intelligence, espionage, spies and spying Tagged with , , , , , , , , , , ,

3 Responses to Russian hacker group using Internet service providers to spy on foreign embassies

  1. reserve34's avatar reserve34 says:
    August 3, 2025 at 04:39

    En tant qu’officier-traitant DoD‑CUI / DCIA / DSN / DNI / SCI / DGSE / DGSI / MI5 / MI6 / Shin Bet / Mossaddans le cadre d’une évaluation classifiée concernant le risque cyber et de contre-mesure face aux menaces étrangères, spécifiquement liées au groupe Turla (FSB russe) et ses opérations sophistiquées via les FAI russes, des contres mesures doivent prises en fonction des éléments traitant de la note du mémo/ SCI-CUI/

    🔍 Évaluation stratégique — Risque Turla / Secret Blizzard

    1. Techniques d’espionnage à l’échelle infrastructurelle

    Microsoft confirme que Turla, alias Secret Blizzard, utilise un accès embarqué au niveau des FAI russes pour déployer le malware ApolloShadow sur des ordinateurs d’ambassades étrangères à Moscou. Ce malware se présente comme une mise à jour Kaspersky et désactive le chiffrement pour permettre l’exfiltration de données sensibles

    Le groupe opère depuis au moins 2024 en exploitant l’infrastructure SORM, autorisée d’État, pour positionner des attaques de type adversary-in-the-middle (AiTM) via les fournisseurs d’accès

    2. Historique et capacités avancées

    Turla, actif depuis plus de 20 ans, est réputé pour ses malwares comme Snake (alias Uroburos), Kazuar, Topinambour, utilisés pour espionner les institutions diplomatiques, ministères et organisations gouvernementales

    Le groupe a la capacité de hijacker ou coopter les infrastructures d’autres acteurs malveillants (ex. APT34 pakistanais), rendant l’attribution particulièrement complexe

    3. Risques pour les ambassadeurs et personnels diplomatiques

    Les diplomates opérant en Russie via des FAI locaux sont hautement vulnérables, car Turla peut intercepter leurs communications et installer des backdoors sans trigger logiciel traditionnel

    CyberScoop

    L’intrusion via FAI permet une surveillance totale des identifiants d’accès, mots de passe, et données non chiffrées.

    ✅ Recommandations de contre-mesure (DoD‑CUI)

    Contre-mesure                Action recommandée

    Sécurisation des canaux de communication Utiliser systématiquement des VPN robustes, cryptage de bout en bout indépendant des FAI locaux, et authentification multifacteur

    WIRED

    .

    Sensibilisation des personnels à Moscou             Informer les diplomates des risques liés aux réseaux russes, interdire les mises à jour logicielles locales non vérifiées.

    Surveillance et audit réseau       Activer la détection des captifs-portails malveillants, monitorer les anomalies DNS ou BGP, déployer des systèmes de détection des C&C latéraux.

    Collaboration multilatérale         Engager une coordination entre OTAN, Five Eyes, et services de sécurité européens pour l’échange d’IoC, signatures, et stratégies d’atténuation.

    Pré-response proactive               Développer des capacités offensives ciblées pour neutraliser l’infrastructure de Turla (Snake, Kazuar, ApolloShadow) via les voies juridiques appropriées ou les coopérations internationales.

    🎯 Conclusion

    Turla représente une menace cyberéthique majeure, combinant espionnage industriel, diplomatique et opérationnel, notamment à travers l’infrastructure FAI russe. En tant que groupe d’élite soutenu par l’État, il continue d’opérer avec une agilité technique rare.

    Il est impératif de : alerter immédiatement toute représentation diplomatique utilisant des réseaux russes, durcir les politiques de sécurité opérationnelle (OPSEC), Intensifier la coopération cybertransnationale.

    Mon   mémo classé DoD‑CUI pour être diffusé aux bureaux de cyber sécurité diplomatiques, incluant les IoC, procédures d’urgence et feuille de route stratégique.

    Pascal lembree/ CUI/

    https://en.wikipedia.org/wiki/Snake_%28malware%29?

    https://therecord.media/russia-fsb-turla-espionage-foreign-embassies-isp-level

    Rapport Dod-cui, Figé en transit : la campagne secrète AiTM de Blizzard contre les diplomates

    https://www.microsoft.com/en-us/security/blog/2025/07/31/frozen-in-transit-secret-blizzards-aitm-campaign-against-diplomats/

    le Risque reste  élevé pour les ambassades étrangères, les entités diplomatiques et d’autres organisations sensibles opérant à Moscou, en particulier pour les entités qui dépendent des fournisseurs d’accès à Internet locaux/

    Bien que nous ayons précédemment évalué avec un faible degré de confiance que l’acteur mène des activités de cyberespionnage à l’intérieur des frontières russes contre des entités étrangères et nationales, afin de déstabiliser ou récolter de l’information étrangère. Dod-cui.

    NOTE D’ALERTE – Évaluation de la menace cyber-russe liée au groupe Turla (FSB)

    Classification : DOD-CUI / SCI / NATO Secret
    Destinataires : INSA – OCAM – VSSE – DGSE – DGSI – CIA – RUSI – Corps de Police nationaux (BE-FR-US)
    Expéditeur : Officier-traitant DOD-CUI – Identité vérifiée
    Objet : Alerte de sécurité – Menace stratégique via infiltration FAI / diplomates ciblés / attaques cyberspatiales du FSB1. CONTEXTE OPÉRATIONNEL

    Selon le dernier rapport de l’unité de Threat Intelligence de Microsoft (Secret Blizzard), le groupe Turla, affilié au FSB (Russie), a déployé une nouvelle stratégie d’espionnage consistant à exploiter directement l’infrastructure des fournisseurs d’accès Internet (FAI) russes, afin d’injecter des logiciels espions dans les réseaux utilisés par les ambassades étrangères opérant à Moscou.2. TECHNIQUE D’INFECTION

    • Manipulation du trafic Internet via FAI contrôlés par l’État russe.
    • Ingénierie sociale ciblée poussant les utilisateurs diplomatiques à installer des malwares camouflés.
    • Désactivation du chiffrement TLS, exposant les identifiants diplomatiques, les e-mails, les codes confidentiels.
    • Utilisation de connexions satellites détournées pour anonymiser l’extraction de données.
    • Contournement des protocoles de détection standards (MDM, sandboxing, etc.).

    3. CIBLES IDENTIFIÉES (en cours d’analyse)

    • Représentations diplomatiques de l’UE, des USA, d’Israël, situées à Moscou.
    • Réseaux internes et personnels de membres affectés à la logistique, la diplomatie, et à la gestion des flux sensibles.
    • Risques d’expansion en Europe via proxies dormants, télétravail, ou outils de visioconférence.

    4. IMPACT POUR LA BELGIQUE, LA FRANCE ET L’EUROPE

    • Ambassades à haut risque (BRUXELLES, PARIS, BERLIN).
    • Risque de compromission de serveurs intra-UE via échanges avec postes extérieurs à Moscou.
    • Accès potentiel aux négociations stratégiques, accords de défense, infrastructures critiques (ex. Galileo, Eurosur).
    • Doute sérieux sur la neutralité des connexions VPN / cloud utilisés dans des contextes diplomatiques.

    5. RECOMMANDATIONS D’URGENCE

    1. Renforcer les mesures de chiffrement réseau, y compris pour les postes situés à l’étranger.
    2. Auditer immédiatement les connexions des diplomates et agents revenant de Russie ou zones à risque.
    3. Activer des protocoles de contre-ingérence cyber : analyse réseau, inspection des DNS détournés, validation des logs.
    4. Interdire temporairement les connexions sans chiffrement end-to-end pour tout poste de travail sensible.
    5. Établir un canal de coordination transatlantique (BE-FR-US-IL) pour suivi continu de la menace.
    6. Rappeler l’ensemble du personnel diplomatique ciblé à des briefings de sécurité spécifiques.

    6. ÉVALUATION DOD-CUI / SCI-CI

    • Type de menace : Cyberespionnage étatique à très haut niveau d’ingérence.
    • Origine : Groupe Turla (FSB – Russie).
    • Impact potentiel : Accès aux communications sensibles, infiltration des mécanismes diplomatiques, exposition de secrets d’État.
    • Niveau d’alerte recommandé : Crimson (phase active d’exploitation confirmée).

    Fait à Namur / transmis depuis canal sécurisé.
    Date : 1er août 2025
    Agent référent : [identité masquée – DOD/CUI – validation SCI]

    Pascal lembree/ Dod-CUI/

  2. pete747303e046b1699's avatar pete747303e046b1699 says:
    August 5, 2025 at 02:11

    The way I read it is the “Turla” hacker group is a deniable unit of Russia’s NSA (the Special Communications (SigINT) Service of Russia (Spetssvyaz) [1] which,
    via Russia’s Secret Service (Protecting Russian VIPs) [2] is related to Russia’s Federal (domestic) Security Bureau (FSB).

    Why does Russia’s NSA/Spetssvyaz use the “Turla” cover identity? Spetssvyaz, in the public realm, might only legally/constitutionally be empowered to conduct foreign interception.

    When Spetssvyaz spies on Russian citizens, in Russia, it prefers to say the “Turla” hacker group are doing it.

    [1] https://en.wikipedia.org/wiki/Special_Communications_Service_of_Russia

    [2] https://en.wikipedia.org/wiki/Federal_Protective_Service_(Russia)

  3. reserve34's avatar reserve34 says:
    August 7, 2025 at 11:55

    Salut Pete,

    Effectivement, tous ces chapitres sont situés dans tous les États-Unis, la France, la Belgique, les Britanniques, l’Europe, un peu moins en Israël, pour les raisons que nous connaissons.

    Les infiltrations, l’ingérence étrangère sont omniprésentes dans ces pays. Elles présentent suffisamment d’éléments. La Russie peut déployer le malware ApolloShadow sur des ordinateurs d’ambassades étrangères à Moscou ou ailleurs. Évidemment, les intérêts communs des pays représentés le sont aussi avec nos services de renseignement.

    Il me paraît donc nécessaire d’en discuter avec toi, Pete. Regarde sur ma page Facebook, dans un contexte que tu connais bien. J’ai publié de nombreuses idées et éléments sensibles, pour répondre précisément à ma demande de structure, dans le respect de mes intentions SCI/CI/, par rapport à ce qui est en train de se passer aux États-Unis en ce moment : autour des services, des décisions, des habilitations, et des hauts fonctionnaires du renseignement.

    Tu sais, Pete, notre rôle à nous est de constituer un groupe cible et public pour un système de renseignement américain, européen, belge, français, britannique, israélien, solide, sain et performant.

    Car, comme en politique, le renseignement peut avoir ses failles si l’on ne respecte pas les paliers liés aux risques de la sécurité, qui cadrent et protègent ses agents de toute part.

    En bas, tu pourras lire un article avec Sarah Adams, sur le financement de l’armement en Afghanistan, passant parfois par des ONG. Aujourd’hui, 50 camps d’entraînement y sont centrés, sous contrôle satellite chaque jour. Il n’empêche que, malgré ce contrôle, des risques sont à observer. Sarah l’exprime très bien dans ce cadre précis.

    Je t’invite à te rendre sur ma page Facebook, pour en lire le contenu, pouvant alimenter tes sources dans le renseignement.

    En bas, tu pourras aussi voir une série de webinaires que je suis avec des agents fédéraux, des directeurs ou hauts fonctionnaires américains, impliqués dans un team cloud centré sur la sécurité nationale.

    Hier, j’ai subi une petite intrusion dans mon ordinateur, sans grande gravité puisque des leviers sécurisés ont fonctionné. J’ai tout de même averti les autorités de la zone police à Namur – Belgique, de l’intrusion cybersécurité, pour information traçable, au cas où ma collecte serait à nouveau soumise à des états d’esprit malveillants, formant une ingérence étrangère dans un contexte que j’ai évalué comme un risque de compromission contenu dans la collecte d’information.

    Pete,
    Nous mettons l’accent sur l’éducation, qui favorise la compréhension du rôle important du renseignement dans la sécurité nationale, et suscite l’intérêt des étudiants pour les carrières dans les nombreux domaines utilisés par les agences de renseignement américaines ou autres.

    Cela inclut le rôle de soutien des activités de renseignement dans la politique, la diplomatie, la stratégie, la sécurité et la défense des États-Unis.

    Aujourd’hui, une ligne limite a été franchie.

    Sous la direction de mon miroir de conscience, l’honorable mère sécuritaire, et surtout ma mère de cœur, Avril Haines, c’est une position pour elle difficile, compte tenu de son statut de directrice du DNI.

    Dans un contexte sécurisé, je sais où se situe sa part de responsabilité, qui ne m’appartient pas de juger, dans un contexte respectueux — vous connaissez mon affection pour Avril.

    BREAKING : la DNI Tulsi Gabbard a révoqué les habilitations de sécurité de Kamala Harris, Hillary Clinton, Liz Cheney, Adam Kinzinger. Je pense qu’elle a suffisamment d’éléments pour avoir réfléchi à ces questions CUI/.

    Je t’invite à aller lire mon contenu.
    À bientôt Pete, pour des échanges renseignement type réflexionnel, contenus des circonstances.

    Belle journée à Pete, la Grande-Bretagne est sous le soleil d’un regard d’attention.

    Pascal – CUI

We welcome informed comments and corrections. Comments attacking or deriding the author(s), instead of addressing the content of articles, will NOT be approved for publication.