{
	"id": "ef6d8d9a-c77f-4e60-840a-3701dbb4ecae",
	"created_at": "2026-04-06T00:10:13.900446Z",
	"updated_at": "2026-04-10T03:35:45.924078Z",
	"deleted_at": null,
	"sha1_hash": "041c19a96f26e1fd67c8c15b1d82797ee5659f14",
	"title": "Rapport indicateurs de compromission - CERT-FR",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 48290,
	"plain_text": "Rapport indicateurs de compromission - CERT-FR\r\nArchived: 2026-04-02 10:52:03 UTC\r\n L’ANSSI traite actuellement une vaste campagne de compromission touchant de nombreuses entités\r\nfrançaises. Cette dernière, toujours en cours et particulièrement virulente, est conduite par le mode opératoire\r\nAPT31 (voir CERTFR-2021-CTI-012 pour plus d'informations).\r\nLes investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais\r\nd'anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs,\r\nissus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions\r\n(depuis le début de l’année 2021) et de les mettre en détection.\r\nToute détection à partir de ces éléments ne constitue pas nécessairement une preuve de compromission et doit être\r\nanalysée afin de lever le doute.\r\nL’ANSSI rappelle que l’intrusion dans un système d’information est une infraction pénale et pourra mettre en\r\nrelation toute entité visée dans le cadre de cette campagne avec les services judiciaires compétents.\r\nMerci de faire remonter à l’ANSSI tout incident découvert en lien avec cette campagne à l’adresse suivante : cert-fr.cossi@ssi.gouv.fr.\r\n[Mise à jour] Les routeurs compromis dont sont issus les marqueurs de la présente publication ne sont plus\r\nutilisés à ce jour par l’attaquant comme relais d’anonymisation. En revanche, ces marqueurs peuvent toujours\r\nservir à des fins de recherches de compromission antérieure, depuis le début de l’année 2021.\r\n ANSSI is currently handling a large intrusion campaign impacting numerous French entities. Attacks are still\r\nongoing and are led by an intrusion set publicly referred as APT31 (see CERTFR-2021-CTI-013 for more\r\ninformation).\r\nIt appears from our investigations that the threat actor uses a network of compromised home routers as operational\r\nrelay boxes in order to perform stealth reconnaissance as well as attacks. As such, indicators of compromises\r\n(IOCs) are shared to help assess possible compromises (searches should start at the beginning of 2021) and used\r\nin detection services.\r\nFinding one of the IOCs in logs does not mean the entire system has been compromised and further analysis will\r\nbe required.\r\nANSSI encourages recipients to report additional information about any incident linked to this campaign and can\r\nbe reached at cert-fr.cossi@ssi.gouv.fr\r\n[Update] The infected home routers mentioned in this publication are no longer used by the threat actor. However,\r\nthe shared IOCs can still be used to assess potential past breaches (from the beginning of 2021 onwards).\r\nTÉLÉCHARGER LES IOCs (CSV) DOWNLOAD IOC (CSV)\r\nhttps://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003\r\nPage 1 of 2\n\nTÉLÉCHARGER LES IOCs (JSON) DOWNLOAD IOC (JSON)\r\nSource: https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003\r\nhttps://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003"
	],
	"report_names": [
		"CERTFR-2021-IOC-003"
	],
	"threat_actors": [
		{
			"id": "aacd5cbc-604b-4b6e-9e58-ef96c5d1a784",
			"created_at": "2023-01-06T13:46:38.953463Z",
			"updated_at": "2026-04-10T02:00:03.159523Z",
			"deleted_at": null,
			"main_name": "APT31",
			"aliases": [
				"JUDGMENT PANDA",
				"BRONZE VINEWOOD",
				"Red keres",
				"Violet Typhoon",
				"TA412"
			],
			"source_name": "MISPGALAXY:APT31",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "9e6186dd-9334-4aac-9957-98f022cd3871",
			"created_at": "2022-10-25T15:50:23.357398Z",
			"updated_at": "2026-04-10T02:00:05.368552Z",
			"deleted_at": null,
			"main_name": "ZIRCONIUM",
			"aliases": [
				"APT31",
				"Violet Typhoon"
			],
			"source_name": "MITRE:ZIRCONIUM",
			"tools": null,
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "74d9dada-0106-414a-8bb9-b0d527db7756",
			"created_at": "2025-08-07T02:03:24.69718Z",
			"updated_at": "2026-04-10T02:00:03.733346Z",
			"deleted_at": null,
			"main_name": "BRONZE VINEWOOD",
			"aliases": [
				"APT31 ",
				"BRONZE EXPRESS ",
				"Judgment Panda ",
				"Red Keres",
				"TA412",
				"VINEWOOD ",
				"Violet Typhoon ",
				"ZIRCONIUM "
			],
			"source_name": "Secureworks:BRONZE VINEWOOD",
			"tools": [
				"DropboxAES RAT",
				"HanaLoader",
				"Metasploit",
				"Mimikatz",
				"Reverse ICMP shell",
				"Trochilus"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434213,
	"ts_updated_at": 1775792145,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/041c19a96f26e1fd67c8c15b1d82797ee5659f14.pdf",
		"text": "https://archive.orkl.eu/041c19a96f26e1fd67c8c15b1d82797ee5659f14.txt",
		"img": "https://archive.orkl.eu/041c19a96f26e1fd67c8c15b1d82797ee5659f14.jpg"
	}
}